正在收到回音';d用户名使用Javascript显示无CSS对安全有害?
我有一个PHP页面,只能由登录用户访问。每个页面对于特定用户都是唯一的,用于收集跟踪 通过PHP,我得到了正在收到回音';d用户名使用Javascript显示无CSS对安全有害?,javascript,php,wordpress,Javascript,Php,Wordpress,我有一个PHP页面,只能由登录用户访问。每个页面对于特定用户都是唯一的,用于收集跟踪 通过PHP,我得到了用户名和用户idecho'd,然后封装在display:nonediv中 然后我有两个ajax调用,它们在执行特定任务(更新集合、添加到、删除等)时传递用户名和用户id。这被传递到一个PHP文件,该文件使用准备好的语句 我这样做是因为我似乎找不到另一种方法来获取Javascript中的用户名和用户id 由于每个页面仅由该特定用户访问,我认为这是安全的,因为您无法访问其他用户的用户名或ID。然
用户名用户iddisplay:none用户名用户id用户名用户id编辑:我还应该指出,我正在使用WordPress进行身份验证。需要考虑的一件事是确保在读取值时对其进行清理。例如,如果有人手动将该div中的用户名设置为
DROP ALL TABLES,会发生什么情况-sql注入攻击。还有,为什么不通过在脚本中而不是在隐藏的div中回显它来将其作为JS变量呢?否则看起来很好,实际上大多数web应用程序都将数据序列化到html模板中,以便脚本读取。您不需要JavaScript中的用户名或id。使用会话识别用户,或查看。感谢您的输入!我使用预先准备好的语句这一事实不会减轻sql注入的影响吗?我认为这个答案的概念是错误的,当涉及到安全性时,有太多的人抢了枪。准备好的语句可以缓解这种情况,但是,由于您使用整数来验证对信息的访问,因此可以很容易地修改并发送到服务器。您真的需要考虑使用JWT作为评论的一部分,为每个人提供一个独特的会话。这并没有隐藏相同的整数值,它只验证JWT是在该应用程序上建立的,从而阻止人们使用随机整数。您可以将数据回显到脚本中,但是,我建议改用API。例如,(JQuery示例)$.get('/API/user',function(data){})