0

在我的 phpwebsite 中,当用户需要创建新帖子(例如)时,我将 jquery/post 发送到一个 phpscript 以执行此操作。但这不安全,我的意思是,每个人都可以使用相同的用户 ID 向该脚本发送一个假的 jquery/post,而无需登录。

这样做有什么安全的方法吗?

4

2 回答 2

2

不要在 POST 中包含用户 ID。

相反,只需使用服务器上当前登录用户的 ID。

这假设您有一种安全的方式来跟踪登录会话。

于 2013-01-07T15:49:14.247 回答
0

您可以提交当前用户的 userId。然后在 PHP 脚本中检查会话并评估发送的 userId 是否与登录用户的用户 id 相同。

于 2013-01-07T15:47:56.900 回答