Fatal编程技术网

避免更改javascript参数

javascript

避免更改javascript参数,javascript,Javascript,我有一个简单的按钮来发布这样的评论 <button onclick="postComment('384',this);">Post</button> Post 在函数post命令(post\u id,元素)中: 384表示要注释的post_id 我知道用户可以轻松地使用其他工具更改'384'编号,例如使用firebug或其他开发工具更改'1000'。这会导致他们在id为1000的帖子上发表评论 如何防止这种情况发生?不要使用参数调用函数。相反,尝试让函数本身搜索最新已

我有一个简单的按钮来发布这样的评论

<button onclick="postComment('384',this);">Post</button>

Post
在函数
post命令(post\u id,元素)
中:

384表示要注释的post_id

我知道用户可以轻松地使用其他工具更改
'384'
编号,例如使用
firebug
或其他开发工具更改
'1000'
。这会导致他们在id为1000的帖子上发表评论

如何防止这种情况发生?

不要使用参数调用函数。相反,尝试让函数本身搜索最新已发布的注释id(在db或其他地方),并增加该值。

不要使用参数调用函数。相反,尝试让函数本身搜索最新已发布的注释id(在db或其他地方),并增加该值。

不要使用参数调用函数。相反,尝试让函数本身搜索最新已发布的注释id(在db或其他地方),并增加该值。

不要使用参数调用函数。相反,尝试让函数本身搜索已发布的最新注释id(在db或其他地方),并增加该值。

在函数上:

postComment(post_id,element)
这意味着你有

插入post('id',…,…)值($post_id,…)



重新编码并修复(取决于您的逻辑)以

检查javascript上是否有ID插入。
函数:


postComment(post_id,element)


这意味着你有


插入post('id',…,…)值($post_id,…)



重新编码并修复(取决于您的逻辑)以

检查javascript上是否有ID插入。
函数:


postComment(post_id,element)


这意味着你有


插入post('id',…,…)值($post_id,…)



重新编码并修复(取决于您的逻辑)以

检查javascript上是否有ID插入。
函数:


postComment(post_id,element)


这意味着你有


插入post('id',…,…)值($post_id,…)



重新编码并修复(取决于您的逻辑)以


检查javascript上是否有ID插入。
如果384是用户可以评论的唯一ID,那么服务器应该知道这一点,如果它获得任何其他ID,则知道响应无效。Web客户端完全不值得信任,所以请以这种方式对待它们。;-)不要在创建客户端时处理ID。相反,向后端发送请求,告诉它发布新评论。后端应该找出id,并可能使用它进行响应。看起来你需要对架构做更多的研究。@RobG:是的,假设384是用户唯一可以评论的。。我们应该每次都检查吗?@Niels-Abildgaard:你有更好的方法吗?例如,有一些职位部门,如职位1职位2。。。。。。。。。。。。。。。。。。。。。帖子10那么每个帖子都有评论输入和提交按钮,你有什么方法知道用户在没有发布参数的情况下评论某个div?啊!现在我明白了。但是,如果用户故意更改代码中的数字,而他的评论结果是随机的,那会有什么问题呢?在发布之前,你必须保证他拥有这些权利,但除此之外,我不认为有什么问题。这类似于访问网站上的随机url:通常没有问题。如果384是用户可以评论的唯一url,那么服务器应该知道这一点,如果它获得任何其他ID,则知道响应无效。Web客户端完全不值得信任,所以请以这种方式对待它们。;-)不要在创建客户端时处理ID。相反,向后端发送请求,告诉它发布新评论。后端应该找出id,并可能使用它进行响应。看起来你需要对架构做更多的研究。@RobG:是的,假设384是用户唯一可以评论的。。我们应该每次都检查吗?@Niels-Abildgaard:你有更好的方法吗?例如,有一些职位部门,如职位1职位2。。。。。。。。。。。。。。。。。。。。。帖子10那么每个帖子都有评论输入和提交按钮,你有什么方法知道用户在没有发布参数的情况下评论某个div?啊!现在我明白了。但是,如果用户故意更改代码中的数字,而他的评论结果是随机的,那会有什么问题呢?在发布之前,你必须保证他拥有这些权利,但除此之外,我不认为有什么问题。这类似于访问网站上的随机url:通常没有问题。如果384是用户可以评论的唯一url,那么服务器应该知道这一点,如果它获得任何其他ID,则知道响应无效。Web客户端完全不值得信任,所以请以这种方式对待它们。;-)不要在创建客户端时处理ID。相反,向后端发送请求,告诉它发布新评论。后端应该找出id,并可能使用它进行响应。看起来你需要对架构做更多的研究。@RobG:是的,假设384是用户唯一可以评论的。。我们应该每次都检查吗?@Niels-Abildgaard:你有更好的方法吗?例如,有一些职位部门,如职位1职位2。。。。。。。。。。。。。。。。。。。。。帖子10那么每个帖子都有评论输入和提交按钮,你有什么方法知道用户在没有发布参数的情况下评论某个div?啊!现在我明白了。但是,如果用户故意更改代码中的数字,而他的评论结果是随机的,那会有什么问题呢?在发布之前,你必须保证他拥有这些权利,但除此之外,我不认为有什么问题。这类似于访问网站上的随机url:通常没有问题。如果384是用户可以评论的唯一url,那么服务器应该知道这一点,如果它获得任何其他ID,则知道响应无效。网络客户是完全不可信的,所以要这样对待他们;