我在迷你网站中使用了大量的ajax请求。每当我想提供一些输入,如用户输入的文本以及一些重要的id,我将它们放在一个表单中并使用'.serialize'将其作为字符串并通过'.getJSON'或'.post'发送。在接收php文件'parse_str'用于使它们成为单独的变量。 整个过程是否安全?我没有任何其他更好的主意。所以请回复此事
答案 0 :(得分:1)
不,这不安全。
例如,密码表单的序列化字符串可以采用“username = hello& password = world”格式,即序列化表单字符串仍然是纯文本,可以在数据包中嗅探。
确保获得SSL证书并使用HTTPS进行任何用户身份验证。
答案 1 :(得分:0)
用户提交内容的安全性问题是,它可能包含代码,如果没有正确转义,可能会导致问题。如果您要将信息提交给MySQL服务器,则应使用mysql_real_escape_string。
http://php.net/manual/en/function.mysql-real-escape-string.php