【发布时间】:2013-06-07 23:28:00
【问题描述】:
我们有一个应用程序,其中包含许多用于提交数据的表单。这些表单大量使用带有 JSON 的 AJAX 来将信息发布到数据库。我担心恶意用户可能会尝试通过传递 JSON 结构化数据来调用我们的 Ajax 接口的事件。 php 脚本不会区分我们自己的服务器调用它还是从外部进行的调用。理论上,恶意用户可以在我们的数据库中写入内容,而无需通过我们的网站。这是一个有效的担忧吗?如果是,有没有办法解决这个问题?
【问题讨论】:
-
强制用户通过 PHP 会话登录。启用 SSL/TLS,这样就没有人可以窃听(Godaddy 有时会提供 10、20、30 美元的证书特价)。如果您的服务器具有静态 IP 地址,请确保脚本始终检查 IP。
-
好提示,我已经在检查 IP,但我担心欺骗 IP 地址有多么容易。