PHP 和 JavaScript 变量传递和安全
PHP and JavaScript variable passing and security
我正在尝试为我的论文评论网站制作一个通知系统,这里是应该发生的基本流程:
这是我的 table 的结构(MySQL):
我遇到的问题是,一旦用户接受或拒绝审核请求,我无法弄清楚如何安全地更新关系 table 中的状态。我可以将 accept/decline 按钮的值设置为关系的 id,并使用 ajax 更新该关系的状态,但这似乎不安全,因为用户可以更改值检查元素。
这是我的例子:
request.php
<?php
//define global variables
$dbhost = "localhost";
$dbusername = "root";
$dbpassword = "";
$dbdatabase = "test";
$conn = new mysqli($dbhost, $dbusername, $dbpassword, $dbdatabase);
?>
<a href="user43notifs.php">Click here to go to user 43's notifications</a><br><br>
<!--Example requests-->
<form action="request.inc.php" method="post">
op_id: 43<br>
reviewer_id: 42<br>
essay_id: 34<br>
<input type="hidden" name="op_id" value="43">
<input type="hidden" name="reviewer_id" value="42">
<input type="hidden" name="essay_id" value="34">
<input type="submit" name="submit">
</form>
<form action="request.inc.php" method="post">
op_id: 43<br>
reviewer_id: 16<br>
essay_id: 135<br>
<input type="hidden" name="op_id" value="43">
<input type="hidden" name="reviewer_id" value="16">
<input type="hidden" name="essay_id" value="135">
<input type="submit" name="submit">
</form>
<form action="request.inc.php" method="post">
op_id: 78<br>
reviewer_id: 12<br>
essay_id: 25<br>
<input type="hidden" name="op_id" value="78">
<input type="hidden" name="reviewer_id" value="12">
<input type="hidden" name="essay_id" value="25">
<input type="submit" name="submit">
</form>
request.inc.php
<?php
//define global variables
$dbhost = "localhost";
$dbusername = "root";
$dbpassword = "";
$dbdatabase = "test";
$conn = new mysqli($dbhost, $dbusername, $dbpassword, $dbdatabase);
$op = mysqli_real_escape_string($conn, $_POST['op_id']);
$reviewer = mysqli_real_escape_string($conn, $_POST['reviewer_id']);
$essay = mysqli_real_escape_string($conn, $_POST['essay_id']);
$sql = "INSERT INTO `reviewer_relations` (`reviewer_id`, `essay_id`, `status`)
VALUES ('$reviewer', '$essay', 0)";
$result=mysqli_query($conn, $sql);
if($result === TRUE){
$title = mysqli_real_escape_string($conn, $reviewer." has requested to review your essay: essay#".$essay.".");
$message = mysqli_real_escape_string($conn, '<button onclick="location.href=\'scripts/review_request.php?confirmation=accept\'" class="review-accept">Accept</button><button onclick="location.href=\'scripts/review_request.php?confirmation=decline\'" class="review-decline">Decline</button>');
$sql = "INSERT INTO `notifications` (`user_id`, `title`, `message`)
VALUES ('$op', '$title', '$message')";
$result=mysqli_query($conn, $sql);
if($result === TRUE){
echo 'notification and relation insert success';
}
else{
echo 'notification insert fail: '.mysqli_error($conn);
}
}
else{
echo 'relation insert fail: '.mysqli_error($conn);
}
?>
user43notifs.php
<?php
$dbhost = "localhost";
$dbusername = "root";
$dbpassword = "";
$dbdatabase = "test";
$conn = new mysqli($dbhost, $dbusername, $dbpassword, $dbdatabase);
$sql="SELECT *
FROM notifications
WHERE user_id = 43";
$result = mysqli_query($conn, $sql);
while($row = mysqli_fetch_assoc($result)){
echo '**********************************************<br>';
echo $row['title'].'<br>';
echo $row['message'].'<br>';
}
?>
使用这两个 table table 设置 PHPMyAdmin:
reviewer_relations
通知
我需要一种 安全 方法来更新 reviewer_relation 的状态列,当用户单击所述通知的接受或拒绝按钮时,该通知代表该通知。
问题是我无法找到一种方法将关系 ID(或描述关系的 reviewer_id 和 essay_id 关联到它的通知而不直接将其放入通知中HTML 容易被更改的地方。
我不经常提问,因此非常感谢您对问题的标题、写作或陈述方式提出批评。如果需要任何其他信息,请询问。谢谢!
我相信我找到了解决方案:
我在用户-文章关系 table 中添加了一个令牌列,以便每个请求都可以使用唯一的、加密安全的令牌进行标识(有关令牌生成代码,请参阅 Scott 更新的答案 here)。
然后当通知插入通知时 table 我将接受按钮的值设置为令牌。这样,当加载通知页面时,可以使用 .val() 检索令牌并与 ajax 一起使用以更新相应请求的状态。因此,虽然用户可以更改按钮的值,但他们猜测另一个请求的 100 个字符长的令牌的可能性小得像天文数字。
如果这不像我想象的那么安全,请告诉我。
我正在尝试为我的论文评论网站制作一个通知系统,这里是应该发生的基本流程:
这是我的 table 的结构(MySQL):
我遇到的问题是,一旦用户接受或拒绝审核请求,我无法弄清楚如何安全地更新关系 table 中的状态。我可以将 accept/decline 按钮的值设置为关系的 id,并使用 ajax 更新该关系的状态,但这似乎不安全,因为用户可以更改值检查元素。
这是我的例子:
request.php
<?php
//define global variables
$dbhost = "localhost";
$dbusername = "root";
$dbpassword = "";
$dbdatabase = "test";
$conn = new mysqli($dbhost, $dbusername, $dbpassword, $dbdatabase);
?>
<a href="user43notifs.php">Click here to go to user 43's notifications</a><br><br>
<!--Example requests-->
<form action="request.inc.php" method="post">
op_id: 43<br>
reviewer_id: 42<br>
essay_id: 34<br>
<input type="hidden" name="op_id" value="43">
<input type="hidden" name="reviewer_id" value="42">
<input type="hidden" name="essay_id" value="34">
<input type="submit" name="submit">
</form>
<form action="request.inc.php" method="post">
op_id: 43<br>
reviewer_id: 16<br>
essay_id: 135<br>
<input type="hidden" name="op_id" value="43">
<input type="hidden" name="reviewer_id" value="16">
<input type="hidden" name="essay_id" value="135">
<input type="submit" name="submit">
</form>
<form action="request.inc.php" method="post">
op_id: 78<br>
reviewer_id: 12<br>
essay_id: 25<br>
<input type="hidden" name="op_id" value="78">
<input type="hidden" name="reviewer_id" value="12">
<input type="hidden" name="essay_id" value="25">
<input type="submit" name="submit">
</form>
request.inc.php
<?php
//define global variables
$dbhost = "localhost";
$dbusername = "root";
$dbpassword = "";
$dbdatabase = "test";
$conn = new mysqli($dbhost, $dbusername, $dbpassword, $dbdatabase);
$op = mysqli_real_escape_string($conn, $_POST['op_id']);
$reviewer = mysqli_real_escape_string($conn, $_POST['reviewer_id']);
$essay = mysqli_real_escape_string($conn, $_POST['essay_id']);
$sql = "INSERT INTO `reviewer_relations` (`reviewer_id`, `essay_id`, `status`)
VALUES ('$reviewer', '$essay', 0)";
$result=mysqli_query($conn, $sql);
if($result === TRUE){
$title = mysqli_real_escape_string($conn, $reviewer." has requested to review your essay: essay#".$essay.".");
$message = mysqli_real_escape_string($conn, '<button onclick="location.href=\'scripts/review_request.php?confirmation=accept\'" class="review-accept">Accept</button><button onclick="location.href=\'scripts/review_request.php?confirmation=decline\'" class="review-decline">Decline</button>');
$sql = "INSERT INTO `notifications` (`user_id`, `title`, `message`)
VALUES ('$op', '$title', '$message')";
$result=mysqli_query($conn, $sql);
if($result === TRUE){
echo 'notification and relation insert success';
}
else{
echo 'notification insert fail: '.mysqli_error($conn);
}
}
else{
echo 'relation insert fail: '.mysqli_error($conn);
}
?>
user43notifs.php
<?php
$dbhost = "localhost";
$dbusername = "root";
$dbpassword = "";
$dbdatabase = "test";
$conn = new mysqli($dbhost, $dbusername, $dbpassword, $dbdatabase);
$sql="SELECT *
FROM notifications
WHERE user_id = 43";
$result = mysqli_query($conn, $sql);
while($row = mysqli_fetch_assoc($result)){
echo '**********************************************<br>';
echo $row['title'].'<br>';
echo $row['message'].'<br>';
}
?>
使用这两个 table table 设置 PHPMyAdmin:
reviewer_relations
通知
我需要一种 安全 方法来更新 reviewer_relation 的状态列,当用户单击所述通知的接受或拒绝按钮时,该通知代表该通知。
问题是我无法找到一种方法将关系 ID(或描述关系的 reviewer_id 和 essay_id 关联到它的通知而不直接将其放入通知中HTML 容易被更改的地方。
我不经常提问,因此非常感谢您对问题的标题、写作或陈述方式提出批评。如果需要任何其他信息,请询问。谢谢!
我相信我找到了解决方案:
我在用户-文章关系 table 中添加了一个令牌列,以便每个请求都可以使用唯一的、加密安全的令牌进行标识(有关令牌生成代码,请参阅 Scott 更新的答案 here)。
然后当通知插入通知时 table 我将接受按钮的值设置为令牌。这样,当加载通知页面时,可以使用 .val() 检索令牌并与 ajax 一起使用以更新相应请求的状态。因此,虽然用户可以更改按钮的值,但他们猜测另一个请求的 100 个字符长的令牌的可能性小得像天文数字。
如果这不像我想象的那么安全,请告诉我。