我目前有一个具有隐藏表单字段的表单,根据用户会话中的变量填充。提交此表单时会调用一个函数来处理表单,这个隐藏变量对它非常重要。
更好的做这样的事情,或者直接在函数中调用会话变量(所以从调用函数的人的会话中拉出变量 - 也就是提交表单)?或者,这是完全一样的......?
我试图在这里考虑应用程序安全性。
由于
答案 0 :(得分:3)
会话变量存储在服务器端,因此必须告知服务器将它们分发出去。只要您没有请求该信息,服务器上就是安全的。
答案 1 :(得分:0)
最好直接使用会话变量,因为它限制了攻击者修改变量的可能性。 除非当然这是一个CSRF令牌。通常将随机值存储为$_SESSION变量,然后将其与隐藏的表单字段进行比较。