Php 防止用户篡改html

目前我有它，当一个用户回复一个线程；我使用

$id=$\u GET['id']

并将变量传递给回复表单中的隐藏只读输入

我使用的另一种方法是数据属性，我使用jQuery检索该属性，然后使用ajax提交表单。可以在firebug中更改数据属性

防止篡改html隐藏字段/数据属性的好方法是什么

---

我考虑过使用会话。例如，如果用户打开了多个窗口：page1.php？id=1，page2.php？id=2，page3.php？id=3。如何存储和检索会话？我无法在多个窗口打开的情况下获得一个确定的会话名称。

显然，您无法阻止用户更改HTML客户端（您可以使更改变得困难，但并非不可能）。如果您担心有人回复他们没有权限回复的线程，您应该处理该服务器端（在发布之前检查权限）。这样，用户就可以随心所欲地更改ID，但他们仍然只能回复允许回复的线程

---

另一个选项是在查询字符串中使用加密的id，但在这种情况下，我仍然会检查服务器端的权限。

当用户回复一个therd时，您使用$id=$theread\u id；您不能阻止请求操纵，而是应该验证服务器端，并确保$\u GET['id']包含的内容在允许的范围内。例如，如果需要在请求之间保存值，请依赖会话。