1

在我看来,ajax 非常适合在不点击链接或发送表单的情况下执行请求。但是,我担心它的安全问题,或者可能只是想太多。在 ajax 中,每个人都可以查看 javascript,并且可以通过 web 访问 php。用户是否可以直接调用php脚本,绕过htaccess限制等?

我有三个选项(任何对新选项的建议都会被认可)来实现我的目标。

选项A:页面->单击按钮并调用ajax->在页面上显示

选项B:页面->在根目录中包含php文件->单击按钮显示隐藏的div(10个mysql行以下)->在页面上显示

选项 C:页面 A -> 单击按钮重定向到页面 B -> 在根目录中包含 php 文件 -> 显示多页结果(每页 10+)

选项 A 对我来说会很好,但它似乎不那么安全。与覆盖 mysql 表中的值决斗时答案是否相同(必须关注更多安全问题)?

- - - - - 更新 - - - - - -

我现在正在使用选项 C,并使用 ajax 来接受请求,根据页面 B 上显示的结果拒绝请求。不过,想知道 Ajax 的安全问题,看看客户端+服务器端脚本的专业人士何时会Ajax 击败了 ajax 安全问题的缺点。Web结构需要根据安全问题进行调整和改进。

4

2 回答 2

0

没有什么可以阻止某人查看您的 JavaScript 代码,获取 AJAX 调用的 URL。

但是,如果安全性是一个大问题,那么请查看会话变量和存储值的方法。有文件、数据库和cookie。您不希望 php 将会话变量存储在 cookie 中,因为访问者可以访问这些变量(它们像普通 cookie 一样存储)。

设置会话值,当发出 AJAX 请求时,检查是否还设置了会话值。如果是,则照常继续。如果不是(并且会话可能已超时),则什么也不做。

于 2013-07-25T03:59:39.793 回答
0

在 ajax 中,每个人都可以查看 javascript,并且可以通过 web 访问 php。用户是否可以直接调用php脚本,

是的,它只是一个 HTTP 请求

绕过htaccess限制等

如果您对使用 Ajax 请求访问的 URL 施加与您想要保护的其他页面相同的限制,则不会。

于 2013-07-25T09:31:58.063 回答