1

我正在使用此代码来检查答案是否正确:

<?php
$con=mysqli_connect("localhost","root","","teachme");
//check connection
if (mysqli_connect_errno()) {
    echo 'Failed to connect to MySQL: ' . mysqli_connect_error();
}

$query = "SELECT question, answer, explanation FROM grade8u1 WHERE id BETWEEN 1 AND 10 ORDER BY RAND()";
$result = mysqli_query($con, $query);
$row = mysqli_fetch_row($result);
echo ("<b>Question</b>: $row[0]<br>");
echo ("<b>Answer</b>: $row[1]<br>");
echo ("<b>Explanation</b>:<br> $row[2]<br>");

if (isset($_POST['answer'])) {
    $answer = $_POST['realanswer'];
    if ($_POST['answer'] == $answer) {
        echo "<br>";
        echo "Last answer was correct";
    }
    else {
        echo "<br>";
        echo "Last answer was incorrect";
    }
}
?>
<form action="random.php" method="post">
    <input type="hidden" name="realanswer" value="<?php echo $row[1]; ?>">
    Answer: <input type="text" name="answer">
    <input type="submit" value="Submit">
</form>

存在一个问题,因为任何人都可以检查或编辑隐藏字段的值。我尝试了其他方法,例如使用会话,但每次用户按下提交时它们都会被替换。谢谢,汤姆。

4

1 回答 1

2

您有 2 个选项。

  1. 使用加密。(秘密)服务器端密钥意味着您可以将隐藏输入设置为只能由服务器解密的加密字符串。
  2. 使用会话(为了安全性更好,尽管挑剔者会指出一些超级奇怪的人和浏览器不支持它)。

如果会话之前对您不起作用,则说明您没有正确使用它们!(可能是一个被遗忘session_start()的电话;通常是这样)

此外,如果这是针对 CAPTCHA 或类似的,则不要使用选项 (1);黑客可以多次重复使用相同的隐藏答案/真实答案组合。您可以通过添加和检查时间戳或使值一次性使用来减少问题,但使用会话会容易得多。

于 2013-04-04T00:19:48.830 回答