1

目前我有它,当用户回复一个线程时;我$id = $_GET['id']在回复表单中使用并将变量传递给隐藏的只读输入。

我使用的另一种方法是数据属性,我使用 jQuery 检索该属性,然后使用 ajax 提交表单。可以在 firebug 中更改数据属性。

什么是防止篡改 html 隐藏字段/数据属性的好方法?

我考虑过使用会话。例如,如果用户打开了多个窗口:page1.php?id=1、page2.php?id=2、page3.php?id=3。我将如何存储和检索会话?在打开多个窗口的情况下,我无法获得确定的会话名称。

4

1 回答 1

2

显然,您无法阻止用户更改 HTML 客户端(您可以使其变得困难,但并非不可能)。如果您担心人们回复他们无权回复的线程,您应该处理该服务器端(发帖前检查权限)。这样,用户可以随意更改 ID,但他们仍然只能回复允许回复的线程。

另一种选择可能是在查询字符串中使用加密的 id,但在这种情况下,我仍然会检查服务器端的权限。

于 2012-07-14T22:49:22.017 回答