我在网上搜索过,但找不到我要找的信息。所以,如果这是一个简单的问题或者问过一次miljon,我很抱歉。
我正在开发一个(可能)有很多Ajax功能的网站。现在我想知道FaceBook是如何做到这一点的,比如“喜欢”按钮。如果我使用ajax调用页面addLike.php?post_id = 1,那么访问者(有恶意)可以使用此url通过向post_id添加随机值来操作我的数据库。
我该怎样防止这种情况?或者最好的方法是什么?
答案 0 :(得分:0)
首先,永远不应该从'GET'HTTP请求访问对数据条目(存储在数据库,文件等中)的调用,例如,删除论坛中的帖子。也就是说,如果你要添加喜欢的帖子,你应该使用$.post来执行ajax请求(假设你正在使用jQuery)。
此外,在响应每个请求之前,应该进行身份验证和授权。这意味着,如果用户想要添加喜欢的帖子,他/她应该已经过身份验证,并且还允许执行特定操作。流行的Web框架将帮助您自动实现(使用配置)。
此外,您还应该通过数据清理来防止XSS攻击。您可以谷歌搜索更多详细信息。