我正在寻找一种通过ajax将敏感变量传递到php文件的安全方法。目前我一直在使用数据属性,但可以使用类似firebug的内容来更改值。
HTML:
<div class="strip">
<?php
if($hide == 0) {
echo '<h2 class="action" data-type="1" data-id="<?php echo $id; ?>" data-action="0">Hide Business</h2>';
}
if($hide == 1) {
echo '<h2 class="action" data-type="1" data-id="<?php echo $id; ?>" data-action="1">Un-Hide Business</h2>';
}
?>
<h2 class="action" data-type="1" data-id="<?php echo $id; ?>" data-action="2">Delete Business</h2>
</div>
的JavaScript / JQuery的:
$(".action").click(function() {
var type = $(this).data("type");
var id = $(this).data("id");
var action = $(this).data("action");
$.ajax({
url : 'assets/php/confirm.php',
type : 'POST',
data : "type="+type+"&action="+action+"&ids="+id,
success : function (result) {
alert(result);
}
});
});
PHP:
if(isset($_POST['type'], $_POST['action'], $_POST['ids'])) {
$type = $_POST['type'];
$action = $_POST['action'];
$ids = explode(",", $_POST['ids']);
$count = count($ids);
if($type == 0) {
if($action == 1) {
$stmt = $mysqli->prepare("DELETE FROM deals WHERE id=?");
} else {
$stmt = $mysqli->prepare("UPDATE deals SET hide=0 WHERE id=?");
}
} else {
if($action == 1) {
$stmt = $mysqli->prepare("DELETE FROM businesses WHERE id=?");
} else {
$stmt = $mysqli->prepare("UPDATE businesses SET hide=0 WHERE id=?");
}
}
for($i = 0; $i < $count; $i++) {
$stmt->bind_param('s', $ids[$i]);
$stmt->execute();
$stmt->close();
}
echo 'Success updated '.$_POST['ids'];
}
需要安全的变量是data-type,data-id,data-action值。原因是我不希望删除错误的数据库条目。 我不知道任何替代方案,所以任何帮助都会很棒。
答案 0 :(得分:1)
如果您想要停止用户更改它们,那么您根本无法从用户那里获取它们。而是将数据存储在服务器上。
如果要限制用户接受的值,请在服务器上限制它们。执行身份验证和授权。确保要更改的值是允许登录用户更改的值。
答案 1 :(得分:0)
由于您的客户端 - 浏览器内部的代码 - 无法隐藏,您应该保护客户端和Web服务器之间的连接 - 使用SSL/TSL进行...