在我的网站上,我为博客文章创建了评论部分。用户可以写评论,点击一个按钮,并将AJAX请求发送到包含JSON数据的PHP。 PHP将处理&验证数据,然后将其插入到数据库中。成功后,所有评论都从数据库中检索出来,并使用JQuery重新加载页面的所有评论。防止假循环Ajax请求到PHP
问题是任何人都可以前来使用浏览器的控制台伪造一个AJAX请求,填写他们自己的JSON并将请求发送到PHP。如果这样做,所发生的只是我的客户端验证是无用的。服务器端验证仍然有效。但是,还有一个更大的问题。
for(var i = 0; i < 10000; i++) {
//ajax request
}
用户可以很容易地将数千和数千记录立即插入到我的数据库中。
有没有人有任何建议,我可以如何防止这样的事情发生?它必须涉及在服务器端创建一些无法被用户猜到的东西,并且在AJAX请求期间以某种方式检查它。我只是不确定如何去做这件事。
感谢您的帮助。
有人可以做同样的事情,只需查看发送ajax请求的地址并用任何语言编写脚本(如shell脚本和卷曲)发送连续的数据请求。 Google对PHP的速率限制。 – Anthony