GET 与 POST 最佳实践

Question

对于我的 Web 应用程序 (PHP/MYSQL)，我会显示一个项目列表，并在每行显示一个链接以删除该项目。现在，链接是

<a href='item.php?id=3&action=delete'>Delete Item</a>

如果我想改用 POST……我该怎么做（这是一个动态生成的列表）？我可以在不使用表单的情况下发送 POST 数据吗？

或者，对于每个项目，我必须这样做：

<form action='item.php?id={$item_id}' method='POST'>
    <input type='hidden' name='action' value='delete'>
    <input type='submit' value='delete item'>
</form>

并将提交按钮的样式设置为看起来像原始链接？

我不熟悉 php CURL 或 REST，他们会帮助解决这个问题吗？

Answer 1

请使用 POST 来修改数据库中的持久状态。您不希望爬虫访问您的删除链接！
阅读 W3C 的 Architecture of the World Wide Web, Volume One 和 URIs, Addressability, and the use of HTTP GET and POST。

编辑：有时您需要使用 GET。例如，通过电子邮件发送的会员激活 URL 是 GET，需要以某种方式修改数据库。

Answer 2

一般来说，以某种方式修改系统状态的 GET 请求不是一个好主意，例如删除项目。

你可以让你的表单看起来像这样：

<form action='item.php' method='POST' id='form'>
    <input type='hidden' name='action' value='delete' />
    <input type='hidden' name='id' value='{item_id}' />
    <a href="" onclick="document.getElementById('form').submit(); return false;">Delete item</a>
</form>

Answer 3

您不应该通过 GET 请求更改数据库中的任何内容（日志信息或其他临时数据除外）。问题是存在各种网络爬虫软件、网络加速器、防病毒程序等，它们会对他们找到的每个 URL 执行 GET 请求；您不希望他们在这样做时自动删除项目。 GET 也容易受到跨站请求伪造；如果攻击者让您的一个用户点击执行错误操作的链接（例如，创建一个重定向到删除 URL 的 tinyurl），那么他们可以欺骗用户使用他们的权限删除某些内容而没有意识到。

是的，您需要提交一个表单来创建 POST 请求。另一种选择是使用 JavaScript 和 XMLHttpRequest，但这不适用于禁用 JavaScript 的用户。

您还应该确保一旦您接受了来自 POST 请求的数据，而不是返回一个新页面来响应该请求，您应该将用户重定向到由 GET 请求访问的页面。这样，他们不会在点击重新加载或稍后在浏览会话中点击后退按钮时意外地重新发送 POST 请求。

Answer 4

这是一个很好的例子，说明为什么不使用 GET 来更改服务器状态：

http://www.infoworld.com/article/08/06/16/25FE-stupid-users-part-3-admins_5.html

关键部分是：

“它登录到管理区域并点击‘删除’链接 每个条目，”管理员说。

如果删除被编码为 POST，这将永远不会发生。 （OTOH，我们会被剥夺一个有趣的系统管理员故事。）

Answer 5

您不想使用 Get，因为 REST 原则不允许 Get 更改系统状态。除非你喜欢搜索引擎删除你所有的内容。

您不需要为每个项目提供表格；您可以在列表周围使用一种方法=发布表单，并使用 delete_{id} 输入类型=提交。或者，更巧妙的是，。提交按钮上允许使用名称。

根据您在 cmets 中的问题， 可能会更好，尽管它会遇到一些对本地化网站效果不佳的问题。您始终可以恢复为 HTML 按钮，以便对演示文稿进行更多控制。默认情况下，它就像一个提交按钮。

当您只是查看列表时，如果您使用建议的“按项目表单”解决方案发回比所需大得多的页面的平均情况，您可能会在提交中获得额外的、不需要的信息这一事实得到缓解.对于支持 javascript 的客户端，您始终可以使用 javascript 将plain-old-html 表单的行为替换为更智能的版本。

如果您要链接到“Get”以进行删除，您应该返回一个确认页面，其中包含实际在确认后发布的 Get。

Answer 6

POST 并不能像某些人暗示的那样保护所有恶意行为。恶意用户仍然可以创建链接（包含执行 POST 的 javascript）并导致与 GET 相同的跨站点脚本问题。 ()

也就是说，使用 POST 而不是 GET 的所有其他原因都适用（爬虫等）。

Answer 7

正如其他人所说，将 GET 用于删除等破坏性操作是一个非常糟糕的主意，尤其是在面向 Internet 的网站（或使用 Google Mini 设备的公司）上，网络爬虫可能会意外删除您的所有数据。

如果您不想使用表单，请使用 XMLHttpRequest 将 POST 发送到您的服务器。如果您的服务器支持，您甚至可以将方法设置为 DELETE。

如果您不能使用 JavaScript 和 XHR（您的用户生活在 1999 年），并且您不想在列表中使用表单，请使用指向单独页面的链接，您可以在其中显示表单和可能“你确定吗？”消息。

最好的办法可能是结合上述两个选项：使用表单呈现指向单独页面的链接，但使用 JavaScript 将链接重写为 XHR 调用。这样，1999 年或 2009 年的用户都可以获得最佳体验。

Answer 8

您不应该使用 href 来删除项目。

我建议以老式方式执行此操作，并为每一行/项目实现一个表单发布。

例如：

<tr><td>Item 1</td><td><form action=/delete method=post><input type=hidden name=id value=1><input type=submit value=Delete></form></tr>
<tr><td>Item 2</td><td><form action=/delete method=post><input type=hidden name=id value=2><input type=submit value=Delete></form></tr>
<tr><td>Item 5</td><td><form action=/delete method=post><input type=hidden name=id value=5><input type=submit value=Delete></form></tr>

另外两个选项： 1）对每个项目使用一个 2）Ajax（但你需要精通Ajax）

Answer 9

您也可以使用 get，但您需要检查会话值以确保它是试图删除的帖子的所有者。 get 不是“普遍不安全的”。这完全取决于你如何使用它。

Answer 10

最好还是用 GET 来做。

如果您的问题是您不喜欢链接的丑陋 URL，您应该可以使用 mod_rewrite 来解决这个问题（如果您使用 Apache 网络服务器）。

编辑： 没有任何理由在这里使用 POST。没有。原因。

这里的人写关于安全和不安全的文章，好像选择方法会以任何方式影响安全。当然，无论您选择哪种方法，您都应该验证您的用户。如果您不这样做，那么您的软件已经损坏。如果您在没有有表单、不需要它、根本不需要任何 javascript 的情况下使用 javascript 来模拟发送表单，那么您的软件已经坏了。 p>

实际上，大约 90% 的网络软件都被破坏了，因为人们不知道自己在做什么。

忽略这个 cmets 被一些奇怪的人严重贬低。避免 javascript（不需要），避免 POST（没有理由），验证您的用户（安全），使用 mod_rewrite 或其他方式使 href 更漂亮（很好）。