1

現在、ユーザーがスレッドに返信すると、私はそれを持っています。変数を使用$id = $_GET['id']して、返信フォームの非表示の読み取り専用入力に渡します。

私が使用する別のアプローチは、データ属性です。これは、jQuery で取得し、ajax でフォームを送信します。データ属性は、firebug で変更される可能性があります。

HTML隠しフィールド/データ属性の改ざんを防ぐ良い方法は何ですか?

セッションを使用することを考えました..たとえば、ユーザーが複数のウィンドウを開いている場合: page1.php?id=1、page2.php?id=2、page3.php?id=3. セッションを保存して取得するにはどうすればよいですか? 複数のウィンドウが開いていると、決定的なセッション名を付けることができません。

4

1 に答える 1

2

明らかに、ユーザーが HTML クライアント側を変更するのを防ぐことはできません (変更を難しくすることはできますが、不可能にすることはできません)。返信する権限のないスレッドに返信する人が心配な場合は、サーバー側で処理する必要があります (投稿する前に権限を確認してください)。そうすれば、ユーザーは必要に応じて ID を変更できますが、返信が許可されているスレッドにしか返信できません。

別のオプションとして、クエリ文字列で暗号化された ID を使用することもできますが、この場合もサーバー側でアクセス許可を確認します。

于 2012-07-14T22:49:22.017 に答える