所以有人告诉我,每当有人在您的前端查看源代码时,让这种东西可见是不安全的:
<form action="http://www.somedomain.com/form.php" method="post">
基本上,能够看到表单提交的 php 文件的人是危险的。是这样吗?如果是这样,我如何使我的可见源安全,同时仍然让表单提交给我们假设的“form.php”?
首先,php源代码不能被查看,除非你通过htaccess或其他方式限制访问,其次,你的前端源代码必须始终是公开的,因为安全问题没有从前到后处理——最后,第三,您的 php 文件的源不能像 css 文件或 javascript 代码一样查看
如果你想限制对 form.php 的直接 HTTP 访问,你可以使用 .htaccess
我使用这个解决方案,一些文件被标记为 somefile.php,但一些 util 文件要么存储在一个文件夹中,要么被标记为 utils.inc.php,所以我确保我限制对 inc.php 文件的直接访问并允许一切别的
我个人认为显示表单提交的页面也没有问题,因为一旦用户提交了他/她的输入,action=""
无论如何都会将用户重定向到所述页面,所以无论哪种方式,他们都会看到他们将在哪里结束向上。无论是在 URL 栏还是表单脚本中。
只需确保在将用户输入数据通过数据库之前对其进行清理。
取决于您用于数据库交互的内容;将提供保护您免受注射的功能
默默无闻的安全性是一个很好的策略,只有在非常选择的特定情况下。但是知道表单提交到哪里——这实际上是 Web 表单的本质。现在有办法了。
即使您提交的 URL 是为了某种安全感而以某种方式动态创建的——只要在浏览器和服务器之间建立一个代理,整个 HTTP 对话就可以打开以供阅读。