我使用一个用户管理脚本会话PHP会话和限制MySQL访问
会话对象$与loggedInUser包含以下属性:
$loggedInUser->email
$loggedInUser->user_id
$loggedInUser->hash_pw
$loggedInUser->clean_username
用户能够从“form.php的”提交数据通过POST到 处理脚本'process.php'
'form.php的'有权访问前面提到的Session对象。 这是目前在提交的Cookie发送形式:
PHPSESSID=7ec81164c9fb2cdc4c6f47a00bc2ae50
问:
如何确保“process.php”到savely只允许登录用户提交数据?
*据我所知,'process.php'只能由我的服务器访问,而不是用户,因此我必须通过Cookie,Get或Post提交会话对象,这些都很容易被篡改与,是吗?*
如果合适的话,你会使用提交的Cookie或检查验证?
自动柜员机很容易,知道'process.php'的路径,在没有登录状态的情况下“伪造”提交。
感谢您经验丰富的程序员的智慧:)。
将表单发送到PHP_SELF,我可以将INSERT包装到基于SESSIONS的条件中吗? – Email 2012-02-23 23:37:52