我在 .js 文件中使用了很多 jquery。为了向网页添加交互性,我使用 Jquery 的“发布”功能,而不是每次单击按钮时都转到新页面。
我的代码在很多地方看起来像这样:
$.post('post.php', {'administrator':4,'variable':variable'}, function (data) {
do stuff depending on what data is , or display data
});
我的 post.php 文件中有很多函数。举几个例子,它会检查电子邮件是否有效,它会检查电话号码是否已在使用中,它会让您登录,它会将您注销以及其他类似的小功能,以便当您填写我的信息时表格数据准确。我根本不依赖脚本验证,我在服务器端进行所有验证以及 SQL 注入(inject)和此类内容的测试。
我的主要问题是: 这是一种可以接受的方法吗?有人可以看到我如何处理该 .js 文件并以某种方式使用它来滥用我的 post.php 文件并获取信息访问权限吗?我不太擅长像罪犯一样思考,所以我不确定他们能做什么。我只是不知道有多少人可以拿走我的 .js 文件并用它来对付我。我知道 javascript 是客户端,并且 javascript 无法访问 sql 数据库之类的东西,但我也不希望他们能够调用管理员功能(例如登录和注销),如果他们有机会以某种方式绕过系统。我不使用cookies来存储任何东西。
只要我的 php 文件有良好的安全措施就可以吗?有没有比使用 jquery 的 .post 更好的方法来“动态”检查事物的可用性?
最佳答案
Is this an acceptable way to do this?
是的
Can someone see how I'm doing that .js file and somehow use it to abuse my post.php file and gain access to information?
浏览器上运行的任何 JS 对用户都是可见的。它可能很难阅读和追踪,但绝对可见。这意味着任何人都可以在显微镜下研究它并了解它是如何工作的。此外,任何人都可以直接射击并 curl 你的端点,让 JS 毫无用处。
正确的身份验证和卫生将确保您的 PHP 安全。在 JS 中做同样的事情可以提高可用性,并防止不受欢迎的人从表面上看到他们不应该看到的东西。
关于javascript - 使用 jquery 的 .post 的 .js 文件 - super 不安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31075765/