我有一个PHP脚本,用于通过AJAX返回数据到网页。在PHP脚本中,登录到网站的特定用户连接到MySQL,下载数据然后返回到网页。为此,用户名和密码信息通过$_GET变量传递给脚本(我知道,这很糟糕)。这是匆忙完成的,但现在我想解决这个问题。一个明显的问题是,这些凭据显示当网页页面加载。
将这些变量传递给PHP脚本的最佳(最安全)方式是什么?加密?我做错了吗?有更好的方法吗?
加密在这里是无用的,因为JavaScript是客户端而不是服务器端。一种更安全的方法是使用SSL,不通过AJAX处理登录,而是使用POST而不使用AJAX。
好吧,如果您不想将其重写为POST(参见Kaisers的回答+1),您可以传递一些额外的唯一加密的$_GET变量,这些变量将在实际处理或返回任何数据之前充当身份验证。