在输入隐藏字段中存储post_id的更安全的方法

时间:2015-03-21 14:24:28

标签: php html ajax

我必须将评论部分整合到我网站的其中一个页面中。当用户对特定帖子发表评论时,帖子ID用于标识用户正在评论的帖子。帖子ID位于相应帖子的输入隐藏字段中。或者,我也可以在标记中使用data-id属性(HTML5)来存储id。但有更安全的方法吗?帖子ID是开放的,任何人都可以检查并更改它的值,即使是从chrome。这是一个很大的安全问题。该页面中可能有大量帖子,我正在使用ajax调用来插入评论。最好的方法是什么?

1 个答案:

答案 0 :(得分:1)

坦率地说,在JavaScript方面,任何事情都可以被编辑或滥用。在控制台中,他们可以发送任何他们想要的POST请求。你无能为力,但你可以保护自己免受虐待。

黄金法则永远不会信任来自用户的数据。例如,如果有人向您发送了具有给定ID的帖子的编辑,请验证该帖子是否属于登录用户。如果确实如此,即使他们操纵了表格上的ID,它也无关紧要,因为无论如何它都是他们的。

您需要根据具体情况调整保护。