PHP - 防止F12提交黑客攻击

时间:2015-08-27 18:15:32

标签: php mysql forms security submit

我正在开发一个PHP webapp,它具有用户配置文件来创建&修改&删除(你知道)

当我修改我的配置文件时,我将$ userID发送到PHP页面,然后我加载所有用户数据。 $ userID存储在隐藏输入中,因为我需要它在提交后启动UPDATE查询。

我注意到用户可以按F12并将该用户ID更改为另一个用户ID,并可以修改(或删除)其他用户个人资料。

很抱歉,如果这是一个愚蠢的问题,我想这是表单提交中的常见问题,但我不知道你是如何面对它的(在这种情况下最安全的策略是什么)。

请帮助: - )

1 个答案:

答案 0 :(得分:2)

您不应公开敏感的ID /数据。 这样做没有“安全”做法。

你应该使用会话变量,如@cmrrissey建议

@session_start(); #at before any outputscript $_SESSION['userID'] = $senstiveId;

此外,您不应该依赖前端验证。 您必须在您的服务器上重新检查/验证您的最终用户发送给您的信息。