これはしばらく前から気になっていた質問なので、アプリがセキュリティリスクになる可能性を抑えるための意見や解決策を探しています。
私は多くのことにjQueryを使用していますが、主にjQueryダイアログウィンドウの処理に使用しています。多くの場合、フォームのフィールドから値を取得し、その情報を.serialize()コマンドで連結し、それをjQuery ajax呼び出しに渡して、データベースとの対話のためにPHPファイルに移動する必要があります。
これが私の質問です(ついに)、
PHP処理でURLがどのように見えるかを「推測」するのは、ばかばかしいほど簡単ではありませんか?
最新のブラウザでソースを開き、リンクをクリックして、ajax呼び出しを含む完全なJavaScriptファイルを確認できます。
難読化のためにJavaScriptファイルを縮小することもできますが、それは信頼できるセキュリティの形式ではありません。
SQLインジェクション攻撃用のプリペアドステートメントを使用したデータベースアクセスにPDPを使用していますが、誰かが時間をかけて調べた場合、有効なURLを作成してデータベースに送信し、必要なものを挿入することはできませんか?
私はデータベースを鉄鋼情報にハッキングすることについて話しているのではなく、データがアプリケーション自体から追加されたかのように悪意のある情報を挿入することについて話しているのです。たった25ドルで50ドルの何かをショッピングカートに追加することを考えてください。
ajaxリクエストをGETからPOSTに変更し、PHPファイルを変更するのと同じくらい簡単な場合はどうでしょうか。
編集:その人はログインしていて、適切に認証されています。
他の人が何をしているのか疑問に思っています。
ありがとう!