我的索引頁(index.php?profile = profilename_here)以正常方式使用jQuery的load()
函數將內容加載到div中,並且所有工作都正常。當頁面加載jQuery的.load函數時保護php
$().ready(function() {
$('#details').load('pages/sidebar/details.php?profile=<?PHP echo $profile;?>').fadeIn(2000);
});
然後在我的網頁/ sidebar/details.php我有MySQL查詢。
$result = mysql_query("SELECT * FROM public_profile WHERE username='$profile'") or die(mysql_error());
所有PHP的東西是安全的,我殺毒所有varibales我應該....但如果有人是去「頁/側邊欄/ details.php?輪廓=」和更改配置文件名字他們將提出其他人的細節。
是否可以通過來檢查頁面是否被加載,如果沒有,是否阻止加載頁面或執行腳本?
也許你可以使用會話,讓你的details.php知道你是否被認證爲配置文件的所有者? – Damp 2012-03-08 15:27:01
這些是公共頁面,沒有人登錄查看這些詳細信息 – 2012-03-08 15:27:51
如果配置文件是公開的,並且您不必登錄查看它們,爲什麼它們提取其他配置文件會影響它? – jprofitt 2012-03-08 15:29:20