我想通过ajax请求传递存储在php的session变量中的用户ID和用户名。

我知道我可以将值作为隐藏的文本框或jQuery数据值打印到页面的html中,但是我觉得这并不安全,用户可以更改值,而ajax调用将发送该值将使其不安全。 请让我知道专业人员如何处理此问题...

提前致谢!

===============>>#1 票数:1 已采纳

专业人员可以通过仔细筛选所有输入,执行严格的密码标准(使用户无法猜测其他用户的密码),将凭据存储在页面上的代码中(而是使用随机生成的会话令牌进行映射)来解决此问题用户的令牌以在服务器上标识。

客户可以规避所有客户代码,轻松地发送所需的任何数据。 您必须假设客户端是邪恶的,然后从该角度考虑保护服务器。

编辑:

如果您需要有关令牌及其用法的帮助,此问题可能会帮助您: PHP cookie和成员安全性

如果您不熟悉安全性,我强烈建议您使用《 Web应用程序黑客手册》 我已经阅读了,阅读起来非常透彻有趣。

还有一本名为《 Web应用程序防御者的食谱》的新书,尽管我没有读过,但它看起来很有希望。

  ask by ShadowZzz translate from so

未解决问题?本站智能推荐: