所以我被告知只要有人在前端查看源代码就会看到这种东西是不安全的:
<form action="http://www.somedomain.com/form.php" method="post">
基本上,有人能够看到表单提交的php文件是危险的。是这样的吗?如果是这样的话,如何让表格仍然保持在我们假设的“form.php”中,那么我的可见来源是否安全?
答案 0 :(得分:4)
首先,除非您通过htaccess或其他方式限制对其的访问,否则无法查看php源代码。其次,您的前端源代码必须始终公开,因为安全问题不会从前面处理到后端,第三,你的php文件的源代码不能像css文件或javascript代码那样查看
如果要限制对form.php的直接HTTP访问,可以使用.htaccess
我使用此解决方案,一些文件被标记为somefile.php,但是一些util文件存储在一个文件夹中或标记为utils.inc.php,所以我确保我限制直接访问inc.php文件并允许其他一切
答案 1 :(得分:1)
我个人认为显示表单提交的页面也没有问题,因为一旦用户提交他/她的企业,action=""将重定向用户到所述的页面,所以要么他们会看到他们最终会在哪里结束。无论是在URL栏还是表单脚本中。
确保在将用户输入数据传递到数据库之前对其进行清理。
根据您对数据库交互的使用情况而定;将有可用于保护您免于注射的功能
答案 2 :(得分:1)
默默无闻的安全是一个很好的政策,只有非常精选的具体案例。但知道表单提交的位置 - 这实际上是Web表单的本质。现在有办法解决这个问题。
即使您提交的URL以某种方式动态创建以获得某种安全感 - 只需在浏览器和服务器之间设置代理,并且可以读取整个HTTP对话。