Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
私の phpwebsite から、ユーザーが新しい投稿を作成する必要がある場合 (たとえば)、このアクションを実行するために 1 つの phpscript に jquery/post を送信しています。しかし、これは安全ではありません。つまり、誰もが同じユーザー ID を持つ偽の jquery/post をそのスクリプトにログイン要件なしで送信できるということです。
これを行う安全な方法はありますか?
POSTにユーザーIDを含めないでください。
代わりに、サーバーに現在ログインしているユーザーのIDを使用してください。
これは、ログインセッションを追跡する安全な方法があることを前提としています。
現在のユーザーの userId を送信できます。次に、PHP スクリプトでセッションをチェックし、送信された userId がログインしているユーザーのユーザー ID と同じであることを評価します。