1

我对 AJAX 真的很陌生。我看到了关于如何使用 ajax http://www.w3schools.com/php/php_ajax_database.asp检索数据库结果的教程

来自 URL 的源代码:

<script>
function showUser(str)
{
if (str=="")
  {
  document.getElementById("txtHint").innerHTML="";
  return;
  }
if (window.XMLHttpRequest)
  {// code for IE7+, Firefox, Chrome, Opera, Safari
  xmlhttp=new XMLHttpRequest();
  }
else
  {// code for IE6, IE5
  xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
  }
xmlhttp.onreadystatechange=function()
  {
  if (xmlhttp.readyState==4 && xmlhttp.status==200)
    {
    document.getElementById("txtHint").innerHTML=xmlhttp.responseText;
    }
  }
xmlhttp.open("GET","getuser.php?q="+str,true);
xmlhttp.send();
}

该代码是否足够安全?除了服务器端的安全性验证之外,我还需要检查任何其他问题吗?关于应用该代码的安全性的最佳实践是什么?

谢谢,我真的很抱歉这个愚蠢的问题。T_T

4

1 回答 1

1

“足够安全”部分取决于您在服务器端执行的操作。在客户端,这里缺少部分“str”值被编码为正确的 URL 值,因此这可能会导致一些问题。

在连接 url 部分时,您至少应该使用encodeURIComponent(or ) 方法。escape

xmlhttp.open("GET","getuser.php?q="+encodeURIComponent(str),true);
于 2013-05-03T07:09:45.070 回答