我正在尝试找出最佳实践,以及最安全的方法,使用javascript为我正在开发的网络应用程序存储变量。
我有使用php,$ _GET和mod_rewrite生成的页面。它们是通过url给出的id生成的。例如:http://example.com/1125/(因为mod_rewrite实际发生的是:http://example.com?id=1125)。 php需要$ _GET ['id']并根据给定的id等从数据库中检索信息......你得到了要点。
我遇到的问题是,我在该页面上有一个表单,用户可以在其中发布通过ajax发送的问题。我不知道存储页面ID的最佳方式($ _GET ['id'])。
现在,我将id存储在表单中的隐藏输入中(例如:“/>”)。当表单提交到服务器并且php看起来是$ _POST时,它包含[“ id“] => 1125.当我通过页面中的表单提交问题时,这就是我发送页面ID的方式。
我认为不安全的原因是,任何人都可以编辑html(例如通过Chrome的inspect元素)并将隐藏的输入(id)值更改为任何其他ID。
所以我的问题是,用javascript存储该id的最安全的方法是什么,所以当提交该问题表单时,它可以安全地将正确的id发送到服务器?或者用最佳实践方法考虑的任何其他建议?
答案 0 :(得分:0)
你只需要验证接收ajax的php页面中的id
,如果id
有效并且用户有权使用它,那么它没关系,它没有重要的是,如果他通过chrome或其他任何东西改变它,但你需要验证,因为如果他为属于其他用户的id
更改了它,那么你必须在那种情况下检测到并错误。
这只是根据应用程序中的权限来验证您的输入。