想象一下将一个参数发送给PHP的javascript命令.让我们想象他总是发送如下:
var data_id = 'login =' +user_login+ 'password =' + user_pass;
代码如下:
$.ajax({ type: "POST", url: "functions/a-php/read/read_config.php", data: data_id, cache: false, success: function(data_o){ } });
我想知道用户或黑客是否可以修改变量data_id,而不是发送参数login =
,他发送一个带有名称的参数google=
,他能做到吗?
是.用户可以向服务器发送他们喜欢的任何内容.
您无法控制服务器边缘以外的任何内容.浏览器中发生的事情以及到达服务器的内容都在客户端和客户端用户的控制之下.
一般来说:
让忽略未知的查询字符串参数
使用身份验证在授权之前确定信任
实施通常的防御措施
SQL注入
CSRF
XSS