[この質問が広すぎないことを願っています。主題は非常に興味深いと思いますが、それがポリシーに違反しているかどうかを教えてください。]
私のシナリオはこれです:
- 機密データやドキュメントも保存するLAMPWebサイトがあります
- 登録ユーザーのみがサイトを操作でき、特定のデータとドキュメントのみを操作できます。ユーザーは$_SESSION変数に格納されます
- ほとんどのページは一種の基本的なパーミッション制御を実装していますが、いくつかの重要なDB操作はAJAXを介して呼び出されます
- AJAXのセキュリティは非常に不十分に実装されています。賢い人は誰でも、好きなIDを送信するリクエストを改ざんして、残忍な単純さでレコードを削除できるからです。
セキュリティに関する完全な本を求めるのは明らかに少し多すぎます(そして私はすでにこのテーマについてたくさん読んで試しています)、私の主な関心事は、AJAXページを特別な配慮で扱う必要があるかどうかです。ハッキングやその他の問題を防ぐために、ソフトウェア全体を保護します。