Php jQuery-表单提交一般问卷和Eval()
我使用jquery的$.ajax()AP将数据发送到服务器进行验证。 (不是在所有表单上,而是在需要更多服务器端验证的表单上) 因此,我的服务器端脚本接收发布的数据,并执行验证魔术。 如果所有数据都经过验证,那么我只返回数字“1”,否则返回零“0” form.htmlPhp jQuery-表单提交一般问卷和Eval(),php,jquery,eval,form-submit,Php,Jquery,Eval,Form Submit,我使用jquery的$.ajax()AP将数据发送到服务器进行验证。 (不是在所有表单上,而是在需要更多服务器端验证的表单上) 因此,我的服务器端脚本接收发布的数据,并执行验证魔术。 如果所有数据都经过验证,那么我只返回数字“1”,否则返回零“0” form.html <form class="systemform" id="testform"> <input type="text" name="emailaddy" id="emailaddy" value="me@me
<form class="systemform" id="testform">
<input type="text" name="emailaddy" id="emailaddy" value="me@me.com" />
<input type="submit" name="button" id="272746866" value="Submit Form">
</form>
<script language="javascript" type="text/javascript">
$(document).ready(function(){
$("form.systemform").submit(function(){
var formid = $(this).attr("id");
var allFormValues = $(this).serialize();
$.ajax({ url:"validate.php",
data:allFormValues+"&formId="+formid,
success:function(response){
if(response == "0"){ alert("invalid data"); }
if(response == "1"){ alert("data validated"); }
}
});return false;
});
</script>
<?php
//validation.php
die('alert("your email is incorrect");');
die('$("selector").html("fix this part");');
?>
我知道有人会想说一些关于eval()的事情,这是不安全的。我想听一听。我想知道为什么。(这对我们所有人都有好处)但请用一些好的例子来详细说明。
evaldie('window.location.href = "http://evilsite.com"');
eval我可以看到使用ajax进行验证的唯一原因是,如果您需要检查数据库中的一些值(例如:查看是否已经使用了用户名)。我不会使用ajax来验证必填字段之类的内容。我可以看到die()包含恶意url,但黑客不需要访问php服务器脚本才能传递这样的内容吗?@coffeemonitor不一定;他们可以将一些值发布到您的脚本中,从而使其返回该值。这会有点奇怪/极端,但为什么要冒不必要的风险呢?
<?php
//validation.php
die('alert("your email is incorrect");');
die('$("selector").html("fix this part");');
?>
die('window.location.href = "http://evilsite.com"');