我正在開發一個Web應用程序,其中已經開發了各種模塊和腳本。現在隨着各種PHP腳本和JavaScript的使用,應用程序按預期工作。PHP代碼執行並防止未經授權的外部訪問執行
我願意阻止未經授權執行PHP腳本。我的意思是應用程序有JavaScript,據此Post參數被張貼爲變量是用JavaScript編寫的,因此任何人都可以查看傳遞值到php腳本的細節。另外,我不能繞過這樣的行爲,因爲它會對數據庫的記錄進行一些必要的數據操作,添加,修改和刪除操作。
如果有不良意圖的人閱讀了javascript並通過POST參數向PHP腳本發送了類似的參數,Web應用程序將無法識別請求是來自授權用戶還是來自未授權用戶。
假設,如果在Web應用程序中的一些操作通過jQuery做客戶的缺失與AJAX,它會像
var request = $.ajax({
url: "phpscript.php",
type: "POST",
data: {DataInp: 'CustomerNo', Action: 'delete'}
});
request.done(function(msg) {
SRes = msg;
});
request.fail(function(jqXHR, textStatus) {
SRes = false;
alert("Request failed: " + textStatus);
});
return SRes;
我使用其中包含的信息和真實的驗證某些登錄會話變量JavaScript的地方寫,我擔心可能發生的這種危險。
此外,如果一些機構使用以下
<img src="http://www.dummy-application.com/delete_record.php?id=123" />
現在要求用戶打開該網頁。現在,由於用戶登錄到應用程序中,URL將被觸發,腳本將採取任何必要的操作。
所以基本上黑客已經提出了技術上有效但未經授權的請求。所以從技術上說,這裏的問題是服務器無法識別用戶是否願意調用url。因此需要有一個機制來解決這個問題。
我想要的是一個簡單的方法來驗證或確定是否真實或從做假如此重要的任務。所以我想要防止黑客誰可以發送欺詐請求以有效的方式到PHP腳本
如果任何人有解決方案,這樣的行動可以阻止,我尋求幫助和建議,如何實施它。
由於英語不是我們的主要語言,我很抱歉我的英語水平不高。但是我請所有人都請在這件事上引導我。