我是編程界的新手,我已經對使用HTML-AJAX-PHP-MySQL的基本CRUD類型的Web應用程序有了足夠的瞭解。我一直在學習編碼作爲業餘愛好,結果只使用WAMP/XAMP設置(本地主機)。我現在想冒險使用VPS並學習設置它並最終開放一個供公衆使用的新項目。HTTPS是否使POST數據加密?
我注意到,無論何時我使用AJAX或甚至定期POST將表單數據發送到我的PHP文件,如果我打開Chrome調試器並轉到「網絡」,我可以看到正在發送的數據,後端PHP文件正在向其發送數據。
如果用戶可以看到這個,他們可以攔截這些數據,修改它,並將它發送到相同的後端PHP文件?如果他們創建了自己的簡單HTML頁面並將POST數據發送到我的PHP後端文件,它會工作嗎?
如果是這樣,我該如何避免這種情況?我一直在閱讀使用HTTPS,但我仍然困惑。將使用HTTPS意味着我將不得不以任何方式改變我的代碼?
瀏覽器顯然會知道它正在發送什麼數據,並且它將在調試器中顯示它。 HTTPS加密傳輸中的數據,遠程服務器在收到時將對其解密;即它防止中間的任何第三方能夠讀取或操作數據。
這可能會對您(或者可能不是)產生影響,但與您的服務器的通信僅通過HTTP(S)進行。這是一個簡單的文本協議。任何人都可以隨時隨地向您的服務器發送任意HTTP請求。 HTTPS加密與否。如果您擔心有人操縱通過瀏覽器調試工具發送的數據......您的擔憂完全是錯誤的。有很多簡單的方法可以將任意製作的HTTP請求發送到您的服務器,而無需進入您的站點。
您的服務器只能依賴收到的數據,並且必須嚴格驗證給定數據的優點。試圖以任何方式鎖定客戶端是徒勞的。
每個人都可以發送他們想要的任何東西到您的應用程序。 HTTPS意味着他們無法查看和操縱其他人發送給您的應用程序的內容。但是你總是必須假設什麼是發送給你的應用程序的POST,GET,COOKIE或其他任何邪惡的東西。
HTTPS正在加密傳輸中,所以不會解決此問題。
你不能信任任何客戶端。通過webform發送的任何數據都可以設置爲客戶需要的任何數據。他們甚至不需要攔截它。他們可以修改頁面上的HTML。
有沒有辦法解決這個問題。你可以也應該做客戶端驗證。但是,由於這通常只是JavaScript,因此可以修改/禁用。
因此,您必須在收到所有數據服務器端時驗證它。數字應該是數字,去掉任何反斜槓或無效的特殊字符等。
在HTTPS中,TLS通道在之前建立並且HTTP數據被傳輸,所以從這一點來看,GET和POST請求之間沒有區別。
它是加密的,但只是爲了防止mitm攻擊。
你的PHP後端不知道它接收到的數據來自哪裏,這就是爲什麼你必須假設它收到的任何數據都是直接來自黑客。
由於您無法防範發送的不正常數據,因此您必須確保處理所有安全接收的數據。一些步驟需要確保上傳的任何文件不能被執行(即,如果有人上載了php文件而不是圖像),確保接收的數據永遠不會直接與數據庫交互(即https://xkcd.com/327/),&確保您不會相信某人只是因爲他們說他們是以用戶身份登錄的。
爲了進一步保護您對收到的發佈數據所做的任何研究,並查找最佳實踐。
感謝您的回答。有沒有辦法在後端PHP文件中驗證數據來自哪裏? – Bruno
@布魯諾有幾種方法,例如IP地址,但發件人可以說謊。 –
@布魯諾你可以發送一個令牌和表單一起,然後檢查是否與帖子數據一起返回了正確的令牌。 –
這比這更簡單。 無論您使用GET還是POST來傳輸參數,HTTP請求都會由用戶的客戶端發送到您的服務器,無論它是Web瀏覽器,Telnet還是其他任何東西。用戶可以知道這些POST參數是什麼,因爲它是發送它們的用戶 - 無論用戶是否親自參與該過程。
您正在從錯誤的結尾處理問題。 編程最重要的規則之一是: 絕不信任用戶條目是編程的基本規則!用戶可以和將作出錯誤,其中一些將試圖破壞你或盜取你。 歡迎進入俱樂部。
因此,如果您收到的POST或GET參數與您的期望不符,請不要讓您的代碼執行任何可能以任何方式破壞您的操作,無論是錯誤的還是惡意的意圖。如果您的代碼按照其設計的方式呈現,那麼只需將特定的POST值發送到您的某個頁面就容易受到傷害,那麼您的設計就存在錯誤,您應該重新考慮這個問題。
在設計程序時出現問題是一個主要問題,您將找到大量關於如何防止代碼違反您的文檔,教程和技巧。
別擔心,這不是是難以處理,而且你想出了自己是關心證明你是在盤算的東西如何好,如何COMMITED你產生良好的代碼,有事實沒有理由爲什麼你會失敗。
如果您在進行安全更新時遇到特定問題,請隨時發佈另一個問題。
請求/響應被加密傳輸。它在任何一方都被解密。 –
所有這些都是自動完成還是需要更改我的代碼? – Bruno