假设我有一个看起来像这样的表格:

<form action="/script.php" method="post">
<input name="my_input" length="80" />
<input type="submit" value="submit" />
</form>

现在,我还想包括一个数字标识符-称它为工单ID。 “这是机票记录,您想添加一些内容吗?” 用户无法修改。

我的问题是...在表单提交中获取票证ID的最安全方法是什么?

没问题,但是我的问题是安全性。 因此,以下是我可以想到的获取变量的方法:

<form action="/script.php" method="post">
<input name="my_input" length="80" />
<input type="hidden" name="ticket_id" value="12345" />
<input type="submit" value="submit" />
</form>

要么

<form action="/script.php?ticket_id=12345" method="post">
<input name="my_input" length="80" />
<input type="submit" value="submit" />
</form>

我担心有人可能制作出恶意的POST并将其提交并将其注释附加到其他票证中。 即,从他们自己的服务器/浏览器/工具编写POST。 如果我使用GET进行操作,那么他们肯定可以通过更改url vars来做到这一点-也可以通过POST进行操作,对吗?

我当然可以检查用户是否拥有该票证并进行其他一些验证,但是从根本上讲,如何将数据呈现给用户并安全地以HTML格式重新获得数据?

除了在服务器端创建唯一的序列号(“ FORM 12345应该出示票证ID 6789”)记录然后再将其核对之外,还需要其他什么吗?

我不确定后端是否使用这些技术,但我在后端使用PHP和MySQL。

===============>>#1 票数:0

使用会话form.php

<?
session_start();
$_SESSION['ticket_id'] = '1234';
?>

script.php

<?
session_start();
$ticket_id = $_SESSION['ticket_id'];
?>

  ask by raindog308 translate from so

未解决问题?本站智能推荐: