[英]Get or Pass Sensitive Data via AJAX in PHP
我想使用Ajax和PHP更新数据库中的一行数据; 但是,我在以下问题上苦苦挣扎: 要更新的数据库中的字段(此后为id
)取决于ajax请求从其发送的页面 。
但是,我需要将此id
放入Ajax调用的PHP脚本中:
我不想在页面的数据属性或隐藏输入中设置id
,因为它们都可以被恶意用户操纵。
同样,使用$_SERVER
URL标识也不安全,因此使用引用URL标识id
也容易受到欺骗。
我无法在SESSION变量(或COOKIES)中设置id
,因为用户可能会打开多个页面,并且SESSION将仅保留打开的最后一个页面id
。
我能想到的唯一解决方案是在db表中创建一个随机令牌到id
的映射,并将其传递到SESSION变量中(按照上述#3),然后检查该表中的令牌并获取相应的令牌id
的方式。 似乎有些令人费解。
还有其他选择或想法吗? 谢谢。
这是与OWASP Top10 A7 (缺少功能级别访问控制)有关的问题。
将您的ID放在页面上可能没有问题,因此页面可以将其发送回-您只需要验证用户是否允许实际的保存请求即可。
试想一下,无论是否在页面上放置ID,页面都知道执行该操作的基本URL,因此他们可以继续猜测ID。
简化您的逻辑。 从客户端到服务器传递某种指示符,以指示正在使用哪种类型的ID。
如果您创建过于复杂的应用程序逻辑来解决安全性问题,则代码的问题可能会比安全性方面的改进更多。
使用SSL / HTTPS和WAF(Web应用程序防火墙-如mod_security)。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.