如何防止用户在 PHP 或 jquery 端伪造表单,我正在使用 Jquery 的 ajax 功能来提交表单,这意味着技术人员可以更改一些变量,例如某些东西的值(应该'不被改变/是一个用户ID或类似的东西)通过使用萤火虫或网络检查器等。
那么我怎样才能防止用户更改这些变量或通过安全且良好的方式确保它们不可更改?
谢谢
【问题讨论】:
标签: php jquery ajax security antiforgerytoken
正如其他人已经说过的,您不能阻止用户篡改。
你正在接收我的数据,我可以向你发送任何我想要的东西,我什至可以手动发出 HTTP 请求,甚至不用使用浏览器,而你对此无能为力。
如果您不希望用户能够更改信息,请不要将其提供给他。
您可以将其存储在 PHP 的会话中,该会话存储在服务器端(不要使用 cookie,它们也会发送给用户)或将其保存在数据库中,最终用户都无法访问它们。
如果您仍想将数据传递给用户,请计算某种散列(secure 散列,使用 secure 散列算法和 secure message digest as Gumbo noted,这排除了数据的 CRC32 或 MD5 和 MAC (如您的姓名或生日)并将其存储在服务器端,然后当用户提交回数据时,检查是否哈希匹配。
但请注意,此解决方案并非 100% 安全。散列函数有冲突,存在错误的实现。
我建议坚持黄金法则:如果它不存在,它就不能破坏/被篡改/被盗等。
【讨论】:
您不能阻止用户这样做。
【讨论】:
将这些变量存储在 Session 中。
【讨论】:
你永远不能相信客户。验证服务器上的表单以确保数据是健全的。这意味着检查给定的用户 ID 是否有权发布他们的表单等。
【讨论】:
我要和……你不能。您从不信任用户的数据;客户端验证始终仅是第一道防线。
【讨论】: