问题描述
|
我已经阅读了几个相关的问题,但是它们并没有直接回答我的问题。 Firebug等开发人员工具允许任何人在发送表单之前查看和操纵表单数据。一个很好的例子是调整隐藏的“成员ID”字段的值,以便将表单提交记入其他用户。
防止此类篡改的最佳方法是什么?我的研究建议将敏感的表单输入移至服务器端脚本,但是还有其他选择或考虑事项吗?
我熟悉PHP和jQuery,因此理想的解决方案是使用其中一种或两种语言。
解决方法
您不能将jQuery用于安全性,因为它全部在客户端处理。
在您的示例中,只需在隐藏的输入字段中使用PHP会话即可,因为正如您正确指出的那样,可以对其进行操作。
使用会话如下所示:
登录页面
<form action=\"login.php\" method=\"post\">
<input type=\"text\" name=\"username\">
<input type=\"password\" name=\"password\">
<input type=\"submit\" name=\"submit\" value=\"submit\">
</form>
// you have to include this on every page to be able to user sessions.
// also make sure that you include it before any output
session_start();
//Always sanitize the user input before doing any db actions.
//For example by using: `mysql_real_escape_string()` ( http://php.net/manual/en/function.mysql-real-escape-string.php ).
// check user credentials against db
$_SESSION[\'user\'] = $dbresult[\'username\'];
session_start();
if (!isset($_SESSION[\'user\'])) {
// user is not logged in!
} else {
// use user info to place order for example
}