1

我使用这个 ajax 函数将电子商务网站中的产品插入到数据库中。

我看到这种方法很不安全,一些有编程知识的有经验的用户可以使用这个 ajax 和插入产品,或者其他的东西。

我在其他帖子中读到了建议使用带有令牌的隐藏输入字段的解决方案,但正如我所说,一些具有编程知识的有经验的用户会找到它。

是否有一些真正的方法可以使这个“添加产品”功能安全而不在每个插入中刷新页面?

$(document).on('click','#save',function(e) {
      var vidArt = $(".imagepreview").attr('value');

      $.ajax({
             data: {idArt: vidArt},
             type: "POST",
             url: "classes/add_to_cart.php",
             success: function(data){

             }
    });
 });
4

1 回答 1

6

无论您将 API 设计为供 Ajax 使用还是供全新页面加载使用都没有关系。HTTP 请求是 HTTP 请求,人们可以发出他们喜欢的任何 HTTP 请求。

无法确保 HTTP 请求来自您编写的代码。

但是,这应该无关紧要。如果您打算让用户 add_to_cart 使用您设计的用户界面,那么为什么担心他们使用他们设计的用户界面 add_to_cart 呢?

如果您想施加限制(例如“只能添加名称中带有 X 的产品”),那么请使用您的服务器端代码而不是用户界面来施加这些限制。

于 2019-07-27T22:05:03.077 回答