我在我的網站上有一些簡單的腳本,允許用戶完成像 計算日期差異,做數學計算等任務。該網站大約95% 純html(不生成php),除一些jquery/ajax將用戶輸入 發佈到服務器端來執行計算。 Ajax代碼如下:php安全和ajax請求
$.ajax({
type: "POST",
url: "script/calc.php",
data: { userval:val},
success: function(response){
//display response
}
});
當用戶輸入值/應該是在PHP 文件「calc.php」的帖子變量之前的數字我想補充(INT),即使在安全方面我不認爲它可以帶來任何問題。
過濾HTTP_REFERER的即時通訊思想,所以PHP文件只得到從我的網站 (以避免任何濫用)的要求,但我讀過,只在HTTP_REFERER計數不是最終 把戲,因爲它依賴於用戶的瀏覽器有時它可能是空的。在另一個 手中,我知道默認情況下ajax將不允許發佈到另一個域,但是也存在一個針對 的攻擊。
我不是一個硬派的安全人員,我知道一些基本知識,所以有什麼你們可以建議我嗎?在這種情況下可能會出現什麼問題。請注意,我不使用任何 數據庫,只有一個php文件,它只是進行一些計算,沒有其他任何東西(沒有任何 像訪問任何目錄,文件上傳或類似的東西)。
還有什麼我應該認真考慮的,防止服務器濫用,xss攻擊或者是類似的嗎?
編輯:所以基本上calc.php具有像這樣的結構(非常簡單)
//期待的整數 $ userval =(int)的$ _POST [ 'userval'];
$ total_sum =($ userval * 15)*(150 *($ userval-2));
echo $ total_sum; 未設置($ total_sum);
// //結束
大部分安全問題歸結爲消毒用戶輸入數據。大多數馬褲是由於缺乏。 – 2013-04-29 20:57:05
好,爲了告訴你腳本/ calc.php是否有問題,我們需要查看源代碼(或至少它的一大塊)。 – Blender 2013-04-29 20:58:07