我有一个网站,登录用户可以关注其他用户,每个用户都存储在一个 MySQL 数据库中,在这个数据库中有一个包含每个用户 session 的表,当用户登录时,它会生成一个唯一的 session ID用于该设备并将其作为 cookie 存储在用户浏览器中。
当用户单击网页上的 HTML 按钮以关注另一个用户时,我希望它向我正在制作的这个 PHP 文件发送一个 javascript XMLHttpRequest,但是我不确定目前要采取什么样的安全措施我需要要关注/取消关注的用户 ID 以及已登录用户的唯一 session ID cookie 值。
基本上,这个具有唯一 ID 的“cookie”/ session ,我想知道它是否足以进行 ajax 调用,它有点像 REST API,但是,它可以通过 PHP 在方法时对数据库进行更改是 POST。
如果您能想到任何可能的问题,请告诉我,我将不胜感激,如果有人对制作此类 Ajax API 有任何建议,请告诉我。
干杯!
最佳答案
虽然 ajax 请求有 session ID,并且用户在 session 中登录,但接受该请求以进行普通用户可能执行的更改是安全的。请记住所有其他安全问题,如通常的请求或 ajax,无论是对数据库的更改还是其他,所以一切都仅限于用户功能,然后它是安全的。
关于javascript - 制作Ajax Handler,需要问一些安全问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53242141/