隐藏字段与本地存储
Hidden Fields vs. Local Storage
我最近发现了 "local storage" 我对此有疑问,我有一个表单,在那个表单中我有几个隐藏字段包含我不想向用户显示的 ID,当表单被 posted 时提交 ID。我想知道是否可以不使用隐藏字段而是将这些 ID 存储在本地存储中,然后 post 将它们与表单数据一起提交给服务器。这些 ID 都是在页面加载时从服务器加载的。哪个更安全,如果我要使用本地存储,我该如何实现它。我尽量只在服务器端使用数据库 ID。
这是一个带有 id 的隐藏字段的示例:
<input type="hidden" value="<?php echo $book_id; ?>" />
如果您将 'secure' 表示为 "Don't let the user muck with them."
,则这些方法都不是 'secure'
如果您想成为 'secure',那么您要验证用户发布到您的服务器的所有内容,以确保他们可以合法访问他们尝试提交的内容。从安全的角度来看,本地存储和隐藏字段是相同的——两者都不能防止篡改。
永远不要相信用户输入。
我最近发现了 "local storage" 我对此有疑问,我有一个表单,在那个表单中我有几个隐藏字段包含我不想向用户显示的 ID,当表单被 posted 时提交 ID。我想知道是否可以不使用隐藏字段而是将这些 ID 存储在本地存储中,然后 post 将它们与表单数据一起提交给服务器。这些 ID 都是在页面加载时从服务器加载的。哪个更安全,如果我要使用本地存储,我该如何实现它。我尽量只在服务器端使用数据库 ID。
这是一个带有 id 的隐藏字段的示例:
<input type="hidden" value="<?php echo $book_id; ?>" />
如果您将 'secure' 表示为 "Don't let the user muck with them."
,则这些方法都不是 'secure'如果您想成为 'secure',那么您要验证用户发布到您的服务器的所有内容,以确保他们可以合法访问他们尝试提交的内容。从安全的角度来看,本地存储和隐藏字段是相同的——两者都不能防止篡改。
永远不要相信用户输入。