我使用ajax POST POST POST id和当前用户id到一个URL来删除这个帖子,但我认为这是不安全的,因为任何人都可以发布这些参数。如何确保发送此Ajax POST的用户是帖子所有者?
不要发送用户ID,这应该存储在会话中或通过cookie安全地完成。
检索后,您可以获取帖子ID,查找该帖子的用户ID并检查它们是否匹配。
应该使用SESSION。UNIQUE id随您的每个请求一起发送。通过这个id,您可以定义哪个用户发送删除请求。阅读更多关于http://www.php.net/manual/en/book.session.php
使用PHP比较通过AJAX发布的内容和存储在数据库中的内容。如果值不匹配,则为无效操作。
Edit_:您还应该检查尝试更改帖子的用户是否当前登录(通过PHP会话,如其他人建议)
应该使用PHP会话来存储当前登录的用户。在删除帖子的脚本中,检查登录的用户是否与创建帖子的用户相同。
使用Ajax post,您应该可以访问他们的cookie和会话,以便您可以使用直接表单提交进行任何需要/可能需要的验证。因此根据该数据验证它
在PHP脚本中放置验证。检查post的用户ID和登录的用户ID(通过session或cookie)是否匹配。
如果是=>返回trueElse =>返回false