[英]What can be changed by user on web? (eg. $_SESSION, JS code)
我想知道與Web 開發相關的用戶可以更改哪些內容不能更改。 主要是如果用戶可以更改 $_SESSION 中的變量。 但是很高興知道某些看似安全的技術實際上是否不安全。 另一個例子是用戶更改 JS 類等中的代碼。
如果這個問題對某人來說太微不足道,我很抱歉。 學習 Web 開發 2 年,想學點新東西。
這是一個代碼示例,我不確定用戶是否可以更改他的 $_SESSION['group']
public function login() {
if(isset($_POST['login_submit'])) {
if(isset($_POST['username']) and isset($_POST['password'])) {
// Fetching user data
$stmt = $this->conn->prepare('SELECT Password FROM TB_Users WHERE Username = ?');
$stmt->execute([$_POST['username']]);
$user = $stmt->fetch();
//-----------------------
// Password Verification
if(password_verify($_POST['password'], $user['Password'])) {
//-----------------------
// Fetching Group of user so it can be used later to fetch Permissions
$stmt = $this->conn->prepare('SELECT TB_userGroups_ID FROM TB_Users WHERE Username = ?');
$stmt->execute([$_POST['username']]);
$UserGroup = $stmt->fetch();
$_SESSION['group'] = $UserGroup['TB_userGroups_ID'];
//-----------------------
// Sending user back from Login page to Main/Index page
header("Location: ../index.php");
exit();
//-----------------------
}
}
}
非常感謝任何幫助或重定向到來源。
如果user指的是網站的訪問者而不是開發人員(只是確保),那么他們不能單方面更改$_SESSION中的任何內容,因為這些值僅存在於服務器上。 用戶只有一個 cookie,服務器使用該 cookie 來識別$_SESSION變量的集合屬於他們。 開發人員負責確保控制進入$_SESSION的內容。 在您在這里的示例中,更改$_SESSION的唯一方法是基於從數據庫中檢索到的內容,因此假設內容是安全的,那么它就會受到保護。
我唯一的建議是擺脫你的isset($_POST['var'])東西並用filter_input()替換它。 您可以使用它從$_POST檢索值並對其進行清理。 調用時,您可以期待null或false內容缺失或無效,因此控制驗證與空值相比更容易一些。 樣本:
$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
完整的文檔在這里https://www.php.net/manual/en/function.filter-input.php
請務必熟悉過濾器標志。 例如, FILTER_SANITIZE_STRING不是一個很好的密碼。
其他一些需要考慮的事情:
php.ini中。.htaccess或主機/虛擬主機配置文件中設置。
什么是'雙點'[例如。 5..toFixed()]我看到縮小的js?
[英]What is the 'double-dot' [eg. 5..toFixed()] I see in minified js?
為什么我在獲取 429 時無法訪問響應(例如檢查響應代碼)
[英]Why Can't I Access the Response (eg. to Check Response Code) When I Get a 429 With a Fetch
如何在您的應用程序中添加angular material.js文件的特定控制(例如md-switch)代碼
[英]how to add specific control(eg. md-switch) code of angular material.js file in your app
fullcalendar記住用戶選項,例如。 cookie中的月/周/日
[英]fullcalendar remember user option eg. month/week/day in cookie
瀏覽器滾動事件是否可能通過DOM操作(除了用戶操作或顯式調用$ .ScrollTop之外)觸發?
[英]Is it possible for a browser scroll event to be triggered by DOM manipulation (other than user actions or explicitly calling eg. $.ScrollTop)?
在jest或普通JS單元測試庫(例如Karma Jasmine)中的mockjax等價物
[英]mockjax equivalent in jest or plain JS Unit Test Library (eg. Karma Jasmine )
iOS 5.x 中通過 js 事件在 Safari 瀏覽器中的聲音通知(例如 ajax 響應)
[英]Sound notification in iOS 5.x in safari browser by js event (for eg. ajax response)
創建一個供孩子們使用的自定義循環:例如。 repeat(5){ //要執行5次的代碼}
[英]creating a custom loop for children to use: eg. repeat(5){ //code to be executed 5 times }
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.