Php 客户端网页编辑问题?
这主要是单选按钮,但;如果您在浏览器中实时编辑网页的原始html并更改广播框的值,会发生什么情况?如果您决定使用php通过表单发送该信息,是否会发送单选按钮更改后的值,还是仅检索其原始值?我想验证这个假设,但apache无法正确安装。您可以从浏览器发送任何您想要的信息,您可以完全控制。所以,是的,你可以从任何形式发送任何东西-这就是为什么客户端健全性检查是无用的Php 客户端网页编辑问题?,php,radio-button,Php,Radio Button,这主要是单选按钮,但;如果您在浏览器中实时编辑网页的原始html并更改广播框的值,会发生什么情况?如果您决定使用php通过表单发送该信息,是否会发送单选按钮更改后的值,还是仅检索其原始值?我想验证这个假设,但apache无法正确安装。您可以从浏览器发送任何您想要的信息,您可以完全控制。所以,是的,你可以从任何形式发送任何东西-这就是为什么客户端健全性检查是无用的 尝试使用tamperdata Firefox插件查看和编辑您的浏览器发布的任何帖子。或者,正如您所说,您可以使用firebug另一个F
尝试使用tamperdata Firefox插件查看和编辑您的浏览器发布的任何帖子。或者,正如您所说,您可以使用firebug另一个Firefox插件编辑任何站点的代码,并在浏览器中查看。HTML页面提交的值就是服务器接收的值。这就是为什么在依赖数据服务器端之前需要验证数据服务器端的原因。您应该假设每个用户都是恶意黑客
$acceptable_values = array('0', '1', '2');
if(in_array($_POST['radio'], $acceptable_values)) {
//Radio button value is valid
} else {
//Radio button is not valid
die('Nice Try!');
}
$acceptable_values = array('0', '1', '2');
if(in_array($_POST['radio'], $acceptable_values)) {
$radio = $_POST['radio'];
} else {
$radio = '0'; //Default
}
需要注意的是,随着Firebug gecko和Inspector webkit等工具的发明,您无需下载、修改和查看HTML页面。您可以在浏览器中实时编辑它。任何人都可以在任何网站上发布任何内容。这是网络中最大的安全问题。这就是为什么您应该怀疑、验证和清理任何用户输入数据的原因。由于PHP5.2,如果我没记错的话,您有filter_var$var_to_be_filter函数,filter_to_be_应用
这样,您就可以避免两个安全问题:SQL注入和XSS跨站点脚本。不幸的是,你必须考虑更多的安全风险;CSRF、Cookie劫持、外部文件访问、远程文件包含、会话固定、Directoy遍历等。如果您想要一个如何工作的现场演示,请前往并执行现实任务1。客户端检查并不是无用的。只要他们不是最后一道防线。它们对于警告非恶意用户不要等待表单提交以解决问题非常有用。当然,您仍然需要服务器端检查,但是从UI的角度来看,客户端检查非常好。