我们有一个应用程序,其中有很多用于提交数据的表单。这些表单大量使用 AJAX 和 JSON 将信息发布到数据库。我担心恶意用户可能会尝试通过传递 JSON 结构化数据来调用我们的 Ajax 接口(interface)。 php 脚本不会区分我们自己的服务器调用它还是从外部进行的调用。从理论上讲,恶意用户可以在不通过我们网站的情况下在我们的数据库中写入内容。这是一个合理的担忧吗?如果是,有没有办法解决这个问题?
最佳答案
是的,这是一个合理的担忧。 OWASP 有一些很好的指南 here 你应该阅读。
我想强调你 不应依赖于客户端逻辑。
关于具有 PHP 安全问题的 Ajax,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16994355/