我有一个简单的按钮来发布这样的评论
<button onclick="postComment('384',this);">Post</button>
postComment(post_id,element)中的:
384表示被评论的post_id
我知道用户可以使用其他内容轻松更改'384'号码,例如'1000'和firebug或其他开发者工具。这会导致他们对有id 1000
如何防止这种情况?
答案 0 :(得分:2)
不要使用参数调用该函数。而是尝试让函数本身搜索最新已发布的注释id(在db或其他地方)并增加该值。
答案 1 :(得分:1)
关于你的功能:
postComment(post_id,element)
这意味着你有
INSERT INTO post ('id', ..., ...) VALUES ($post_id, ..., ...);
重新编码并修复它(取决于你的逻辑)
postComment(element)
检查是否在javascript上插入ID。