0

我正在尝试为我的论文评论网站制作一个通知系统,这是应该发生的基本流程:

流动

这是我的表结构(MySQL):

图式

我遇到的问题是,一旦用户接受或拒绝审查请求,我无法弄清楚如何安全地更新关系表中的状态。我可以将接受/拒绝按钮的值设置为关系的 id 并使用 ajax 来更新该关系的状态,但这似乎并不安全,因为用户可以只使用检查元素更改值。

这是我所拥有的示例:
request.php 

<?php
//define global variables
$dbhost = "localhost";
$dbusername = "root";
$dbpassword = "";
$dbdatabase = "test";
$conn = new mysqli($dbhost, $dbusername, $dbpassword, $dbdatabase);
?>
<a href="user43notifs.php">Click here to go to user 43's notifications</a><br><br>

<!--Example requests-->

<form action="request.inc.php" method="post">
  op_id: 43<br>
  reviewer_id: 42<br>
  essay_id: 34<br>
  <input type="hidden" name="op_id" value="43">
  <input type="hidden" name="reviewer_id" value="42">
  <input type="hidden" name="essay_id" value="34">
  <input type="submit" name="submit">
</form>
<form action="request.inc.php" method="post">
  op_id: 43<br>
  reviewer_id: 16<br>
  essay_id: 135<br>
  <input type="hidden" name="op_id" value="43">
  <input type="hidden" name="reviewer_id" value="16">
  <input type="hidden" name="essay_id" value="135">
  <input type="submit" name="submit">
</form>
<form action="request.inc.php" method="post">
  op_id: 78<br>
  reviewer_id: 12<br>
  essay_id: 25<br>
  <input type="hidden" name="op_id" value="78">
  <input type="hidden" name="reviewer_id" value="12">
  <input type="hidden" name="essay_id" value="25">
  <input type="submit" name="submit">
</form>

请求.inc.php 

<?php
//define global variables
$dbhost = "localhost";
$dbusername = "root";
$dbpassword = "";
$dbdatabase = "test";
$conn = new mysqli($dbhost, $dbusername, $dbpassword, $dbdatabase);

$op = mysqli_real_escape_string($conn, $_POST['op_id']);
$reviewer = mysqli_real_escape_string($conn, $_POST['reviewer_id']);
$essay = mysqli_real_escape_string($conn, $_POST['essay_id']);

$sql = "INSERT INTO `reviewer_relations` (`reviewer_id`, `essay_id`, `status`)
VALUES ('$reviewer', '$essay', 0)";

$result=mysqli_query($conn, $sql);
if($result === TRUE){
  $title = mysqli_real_escape_string($conn, $reviewer." has requested to review your essay: essay#".$essay.".");
  $message = mysqli_real_escape_string($conn, '<button onclick="location.href=\'scripts/review_request.php?confirmation=accept\'" class="review-accept">Accept</button><button onclick="location.href=\'scripts/review_request.php?confirmation=decline\'" class="review-decline">Decline</button>');
  $sql = "INSERT INTO `notifications` (`user_id`, `title`, `message`)
  VALUES ('$op', '$title', '$message')";

  $result=mysqli_query($conn, $sql);

  if($result === TRUE){
    echo 'notification and relation insert success';
  }
  else{
    echo 'notification insert fail: '.mysqli_error($conn);
  }
}
else{
  echo 'relation insert fail: '.mysqli_error($conn);
}
?>

user43notifs.php

<?php
$dbhost = "localhost";
$dbusername = "root";
$dbpassword = "";
$dbdatabase = "test";
$conn = new mysqli($dbhost, $dbusername, $dbpassword, $dbdatabase);

$sql="SELECT *
FROM notifications
WHERE user_id = 43";
$result = mysqli_query($conn, $sql);
while($row = mysqli_fetch_assoc($result)){
  echo '**********************************************<br>';
  echo $row['title'].'<br>';
  echo $row['message'].'<br>';
}
?>

使用通过 PHPMyAdmin 设置的这两个表:
reviewer_relations通知
reviewer_relations

在此处输入图像描述

当用户单击通知的接受或拒绝按钮时, 我需要一种安全的方法来更新由通知表示的 reviewer_relation 的状态列。

问题是我无法找到一种方法将关系 id(或描述关系的 reviewer_id 和essay_id)与其通知相关联,而不将其直接放入通知的 HTML 中,因为它很容易被更改。

我不经常提出问题,因此非常感谢对问题的标题、书写或陈述方式的任何批评。如果需要任何其他信息,请询问。谢谢!

4

1 回答 1

0

我相信我已经找到了解决方案:
我在用户文章关系表中添加了一个令牌列,以便可以使用唯一的、加密安全的令牌来标识每个请求(有关令牌生成代码,请参见 Scott 的更新答案here)。
然后,当通知插入到通知表中时,我将接受按钮的值设置为令牌。这样,当加载通知页面时,可以通过使用.val()并与 ajax 一起使用来检索令牌,以更新相应请求的状态。因此,虽然用户可以更改按钮的值,但他们猜测另一个请求的 100 个字符长的标记的机会非常小。
如果这不像我认为的那样安全,请告诉我。

于 2018-07-24T22:37:01.597 回答