我使用ajax将帖子ID和当前用户ID发布到URL以删除此帖子,但我认为这不安全,因为任何人都可以发布这些参数。如何确保发送此Ajax POST的用户是帖子所有者?
答案 0 :(得分:2)
不要发送用户ID,这应该存储在会话中或通过cookie安全地完成。
检索后,您可以获取帖子ID,查找该帖子的用户ID并检查它们是否匹配。
答案 1 :(得分:0)
使用PHP比较通过AJAX发布的内容以及数据库中存储的内容。如果值不匹配则是无效操作。
Edit_:你还应该检查用户是否正在尝试更改帖子(通过像其他人建议的PHP会话)
答案 2 :(得分:0)
你应该使用SESSION这个。每个请求都会发送UNIQUE ID。因此,通过此ID,您可以定义哪个用户发送删除请求。 详细了解http://www.php.net/manual/en/book.session.php
答案 3 :(得分:0)
您应该使用PHP会话来存储当前登录的用户。在删除帖子的脚本中,检查登录用户是否与创建帖子的用户相同。
答案 4 :(得分:0)
使用Ajax帖子,您应该可以访问他们的cookie和会话,这样您就可以通过直接表单提交进行任何验证。因此,请根据该数据进行验证。
答案 5 :(得分:0)
在PHP脚本中进行验证。检查帖子的用户ID并登录用户ID(通过会话或cookie)匹配。
如果是=>返回true else =>返回错误