我正在寻找一种通过 ajax 将敏感变量传递到 php 文件的安全方法。目前我一直在使用数据属性,但可以使用 firebug 之类的东西来更改值。
HTML:
<div class="strip">
<?php
if($hide == 0) {
echo '<h2 class="action" data-type="1" data-id="<?php echo $id; ?>" data-action="0">Hide Business</h2>';
}
if($hide == 1) {
echo '<h2 class="action" data-type="1" data-id="<?php echo $id; ?>" data-action="1">Un-Hide Business</h2>';
}
?>
<h2 class="action" data-type="1" data-id="<?php echo $id; ?>" data-action="2">Delete Business</h2>
</div>
JavaScript/JQuery:
$(".action").click(function() {
var type = $(this).data("type");
var id = $(this).data("id");
var action = $(this).data("action");
$.ajax({
url : 'assets/php/confirm.php',
type : 'POST',
data : "type="+type+"&action="+action+"&ids="+id,
success : function (result) {
alert(result);
}
});
});
PHP:
if(isset($_POST['type'], $_POST['action'], $_POST['ids'])) {
$type = $_POST['type'];
$action = $_POST['action'];
$ids = explode(",", $_POST['ids']);
$count = count($ids);
if($type == 0) {
if($action == 1) {
$stmt = $mysqli->prepare("DELETE FROM deals WHERE id=?");
} else {
$stmt = $mysqli->prepare("UPDATE deals SET hide=0 WHERE id=?");
}
} else {
if($action == 1) {
$stmt = $mysqli->prepare("DELETE FROM businesses WHERE id=?");
} else {
$stmt = $mysqli->prepare("UPDATE businesses SET hide=0 WHERE id=?");
}
}
for($i = 0; $i < $count; $i++) {
$stmt->bind_param('s', $ids[$i]);
$stmt->execute();
$stmt->close();
}
echo 'Success updated '.$_POST['ids'];
}
需要安全的变量是数据类型、数据 ID、数据操作值。原因是我不想删除错误的数据库条目。 我不知道有什么选择,所以任何帮助都会很棒。
最佳答案
如果您想阻止用户更改它们,那么您根本无法从用户那里获取它们。将数据存储在服务器上。
如果您想限制从用户接受的值,请在服务器上限制它们。执行身份验证和授权。确保正在更改的值是允许登录用户更改的值。
关于javascript - 在点击事件上传递敏感变量的最佳方法?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23593764/