HTTPS 是否使 POST 数据加密？

Question

我是编程领域的新手，我已经对使用 HTML-AJAX-PHP-MySQL 的基本 CRUD 类型的 Web 应用程序有了足够的了解。我一直在学习编码作为一种爱好，因此只使用了 WAMP/XAMP 设置（本地主机）。我现在想冒险使用 VPS 并学习设置它并最终打开一个新项目供公众使用。

我注意到，每当我使用 AJAX 甚至常规 POST 将表单数据发送到我的 PHP 文件时，如果我打开 Chrome 调试器并转到“网络”，我可以看到正在发送的数据，以及发送到哪个后端将数据发送到的 PHP 文件。

如果用户可以看到这一点，他们是否可以截取这些数据，对其进行修改，并将其发送到同一个后端 PHP 文件？如果他们创建自己的简单 HTML 页面并将 POST 数据发送到我的 PHP 后端文件，它会工作吗？

如果是这样，我该如何避免这种情况？我一直在阅读有关使用 HTTPS 的信息，但我仍然感到困惑。使用 HTTPS 是否意味着我必须以任何方式更改我的代码？

Answer 1

浏览器显然会知道它正在发送什么数据，并将在调试器中显示它。 HTTPS 对传输中的数据进行加密，远程服务器将在收到后对其进行解密；即，它可以防止中间的任何第 3 方能够读取或操作数据。

这可能会让您感到震惊（或者可能不会），但与您的服务器的通信完全通过 HTTP(S) 进行。那是一个简单的文本协议。任何人都可以随时随地向您的服务器发送任意 HTTP 请求。 HTTPS 加密与否。如果您担心有人操纵通过浏览器调试器工具发送的数据……您的担心完全是错误的。有许多更简单的方法可以将任意精心制作的 HTTP 请求发送到您的服务器，甚至无需访问您的站点。

您的服务器只能依赖于它接收到的数据，并且必须根据自身的优点严格验证给定的数据。试图以任何方式锁定客户端都是徒劳的。

Answer 2

这比那更简单。 无论您是使用 GET 还是 POST 来传输参数，HTTP 请求都会由用户的客户端发送到您的服务器，无论是 Web 浏览器、telnet 还是其他任何东西。用户可以知道这些 POST 参数是什么，因为是用户发送它们 - 无论用户个人参与该过程。

您从错误的角度解决问题。 编程最重要的规则之一是： 永远不要相信用户条目是编程的基本规则！用户可以并且将犯错误，其中一些人会试图伤害你或窃取从你那里。 欢迎加入俱乐部。

因此，如果您收到的 POST 或 GET 参数不是您所期望的，无论是错误的还是恶意的，您都不能允许您的代码执行任何可能以任何方式损害您的操作。如果您的代码（按照其设计方式）仅通过向您的一个页面发送特定的 POST 值就使您容易受到伤害，那么您的设计有问题，您应该考虑到这个问题重做它。

这个问题是设计程序时的主要问题，您会发现大量有关如何防止代码对您不利的文档、教程和提示。

别担心，这不是那么难以处理，而且你自己提出这个问题的事实表明你在解决问题方面的能力以及你对生产的投入程度好的代码，你没有理由失败。

如果您在进行安全更新时遇到特定问题，请随时发布另一个问题。

Answer 3

每个人都可以向您的应用程序发送他们想要的任何内容。 HTTPS 只是意味着他们无法看到和操纵其他人发送到您的应用程序的内容。但是您总是必须假设发送到您的应用程序的内容是 POST、GET、COOKIE 或任何邪恶的东西。

Answer 4

HTTPS 会在传输过程中加密，因此不会解决此问题。

您不能信任任何客户端。通过网络表单发送的任何数据都可以设置为客户想要的任何内容。他们甚至不必拦截它。他们可以只修改页面上的 HTML。

没有办法解决这个问题。您可以而且应该进行客户端验证。但是，由于这通常只是 JavaScript，因此可以修改/禁用它。

因此，您必须在收到数据时验证所有数据服务器端。数字应该是数字，去掉任何反斜杠或无效的特殊字符等。

Answer 5

在 HTTPS 中，TLS 通道是先建立的，然后传输 HTTP 数据，所以从这个角度来看，GET 和 POST 请求没有区别。

Answer 6

它是加密的，但这只是为了防止中间人攻击。

你的 php 后端不知道它收到的数据来自哪里，这就是为什么你必须假设它收到的任何数据都直接来自黑客。

由于您无法防止发送令人讨厌的数据，因此您必须确保安全地处理所有收到的数据。需要采取的一些步骤包括确保上传的任何文件都无法执行（即，如果有人上传 php 文件而不是图像），确保收到的数据永远不会直接与数据库交互（即https://xkcd.com/327/），并确保你不要'不要仅仅因为某人说他们以用户身份登录就信任他们。

为了进一步保护您对收到的帖子数据所做的任何事情进行一些研究，并查找最佳实践。