我有一个注册表单
post--> to data_checking --post--> insert_db page
在我的data_checking
页面中,我将检查所有内容,长度,SQL注入等。
但是,如果用户知道我的$_POST['']
,他们可以跳过data_checking页面并将其数据插入db。例如,如果黑客知道我的$_POST['email']
,他们就可以通过cURL发送此数据。
有任何建议如何做到这一点?提前谢谢。
答案 0 :(得分:0)
你总是可以将数据检查集成到数据库插入php中(我不明白为什么它们最初没有合并),或者如果你不能这样做,你可以发送一个非常复杂的密钥作为一些帖子确认脚本正在发送数据。
答案 1 :(得分:0)
删除数据检查和数据插入脚本之间的插页式HTTP请求,或调用在数据插入脚本中执行数据检查的函数。