问题描述
|
我已经阅读了几个相关的问题,但是它们并没有直接回答我的问题。 Firebug等开发人员工具允许任何人在发送表单之前查看和操纵表单数据。一个很好的例子是调整隐藏的“成员ID”字段的值,以便将表单提交记入其他用户。
防止此类篡改的最佳方法是什么?我的研究建议将敏感的表单输入移至服务器端脚本,但是还有其他选择或考虑事项吗?
我熟悉PHP和jQuery,因此理想的解决方案是使用其中一种或两种语言。
解决方法
您不能将jQuery用于安全性,因为它全部在客户端处理。
在您的示例中,只需在隐藏的输入字段中使用PHP会话即可,因为正如您正确指出的那样,可以对其进行操作。
使用会话如下所示:
登录页面
<form action=\"login.php\" method=\"post\">
<input type=\"text\" name=\"username\">
<input type=\"password\" name=\"password\">
<input type=\"submit\" name=\"submit\" value=\"submit\">
</form>
login.php
// you have to include this on every page to be able to user sessions.
// also make sure that you include it before any output
session_start();
//Always sanitize the user input before doing any db actions.
//For example by using: `mysql_real_escape_string()` ( http://php.net/manual/en/function.mysql-real-escape-string.php ).
// check user credentials against db
$_SESSION[\'user\'] = $dbresult[\'username\'];
需要用户页面的页面.php
session_start();
if (!isset($_SESSION[\'user\'])) {
// user is not logged in!
} else {
// use user info to place order for example
}
该会话将一直处于活动状态,直到用户关闭其浏览器/直到该会话终止(这是PHP设置)为止
上面只是一些示例代码,可以使您有所了解。
它适用于较小的项目,但是随着项目变得越来越复杂,我建议采用MVC(模型,视图,控制器)方式。 (http://en.wikipedia.org/wiki/Model%E2%80%93view%E2%80%93controller)
但这只是一个完整的故事:)
,以下是一些基本建议:
您需要使用服务器端(PHP)脚本来验证表单输入。
不必依赖表单中的敏感信息(例如成员ID),而可以将此类数据缓存在服务器会话中。这样一来,恶意用户就无法即时更改数据。
您仍然可以使用jQuery验证作为捕获基本输入问题的便利,但是您只能信任使用服务器端代码验证的数据。