我在.js文件中使用了很多jquery。要为网页添加交互性,而不是每次点击按钮时都转到新页面,我会使用Jquery" post"特征
我的代码在很多地方都是这样的:
$.post('post.php', {'administrator':4,'variable':variable'}, function (data) {
do stuff depending on what data is , or display data
});
我的post.php文件是很多函数的地方。一些例子是,它检查一下电子邮件是否有效,它会检查一个电话号码是否已经在使用中,它会让你登录,它会把你记录下来以及其他类似的小功能,这样当你填写我的电子邮件时表格数据准确。我根本不依赖于脚本验证,我在服务器端进行所有验证,并测试SQL注入和那种东西。
我的主要问题是: 这是一种可以接受的方式吗?有人可以看到我是如何做那个.js文件并以某种方式使用它来滥用我的post.php文件并获取信息?我不是很善于像犯罪分子一样思考,所以我不确定他们能做什么。我不熟悉有多少人可以拿走我的.js文件并用它来对付我。我知道javascript是客户端,javascript无法访问sql数据库和类似的东西,但我也不希望他们能够调用管理员功能(如登录和注销),如果他们有可能以某种方式绕过系统。我不使用cookies来存储任何东西。
只要我的php文件有很好的安全措施,我应该没问题吗?有没有更好的方法来检查可用性"在飞行中"事情而不是使用jquery的.post?
答案 0 :(得分:4)
这是否可以接受?
是
有人可以看到我是怎么做的.js文件并以某种方式使用它来滥用我的post.php文件并获取信息?
用户可以看到浏览器上运行的任何JS。它可能很难阅读和追踪,但绝对可见。这意味着任何人都可以在显微镜下研究它,看看它是如何工作的。此外,任何人都可以直接射击并卷曲你的终点,让JS无用。
正确的身份验证和卫生设施将确保您的PHP安全。在JS中做同样的事情会提高可用性,同时防止不受欢迎的人在表面上看到他们不应该看到的东西。