所以我刚被告知,当有人在你的前端查看源代码时,让这些东西可见是不安全的:
<form action="http://www.somedomain.com/form.php" method="post">
基本上,有人能够看到表单提交的php文件是危险的。是这样吗?如果是这样,我如何使我的可见源安全,同时仍然有表单提交给我们假设的"form.php"?
首先,PHP源代码不能被查看,除非你通过htaccess或其他方式限制访问,其次,你的前端源代码必须始终是公开的,因为安全问题不会从前端到后端处理,第三,你的PHP文件的源代码不能像CSS文件或javascript代码一样被查看
如果你想限制HTTP直接访问form.php,你可以使用。htaccess
如果使用这个解决方案,一些文件被标记为somefile.php,但一些util文件要么存储在文件夹中,要么标记为utils.inc.php,所以我确保限制对inc.php文件的直接访问,并允许其他
我个人并不认为显示表单提交的页面有什么问题,因为一旦用户提交了他/她的条目,action=""将把用户重定向到声明的页面,所以无论如何他们都会看到他们将结束的地方。无论是在URL栏还是在表单脚本中。
确保在通过数据库传递用户输入数据之前对其进行了消毒。
取决于你使用的数据库交互;将有可用的函数来保护您免受注入
仅在非常选定的特定情况下是一种好策略。但是知道表单提交到哪里——这实际上是web表单的本质。现在有办法解决这个问题。
即使你提交的URL是出于某种安全考虑而动态创建的——只要在浏览器和服务器之间有一个代理,整个HTTP对话框就会打开供读取。