[請益] 避免user使用firebug等工具竄給html

作者commenbear (commenbear)

看板PHP

標題[請益] 避免user使用firebug等工具竄給html

時間Thu Nov 12 17:35:58 2015

各位好，最近小弟在思考這個問題有些人會用firebug或是chrome的F12去修改元素，若我想避免user這樣操作有什麼方法可以參考? 以下是我寫的簡易html跟php #html <form action="1.php" method="POST" id="form"> <select name="opt" id="opt"> <option value="1">1</option> <option value="2">2</option> </select> <input type="submit" name="a" id="a" value="a"> <input type="submit" name="b" id="b" value="b"> </form> <script type="javascript/text"> $(function(i){ $("#b").hide(); $("#opt").on("change",function(){ var opt = $(this).val(); if (opt==1) { $("#b").hide(); $("#a").show(); }else{ $("#a").hide(); $("#b").show(); }; }); }) </script> #1.php echo $_POST["a"]; echo $_POST["b"]; echo $_POST["opt"]; exit(1); 期望控制php只會印出 a1 或是 b2兩種結果有什麼建議的做法嗎? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 211.75.166.221 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1447320960.A.A70.html

→ bibo9901: mission impossible 11/12 18:03

推 LPH66: 觀念: 不要假設 GET/POST 變數會如何, 就算這些變數是在 11/12 18:06

→ LPH66: 網頁裡寫死的也是一樣; 即使不用這種修改工具也是能做出 11/12 18:07

→ LPH66: 不符合你預設條件的輸入 11/12 18:07

→ commenbear: 的確是如此@@ 11/12 18:11

推 rockmanalpha: 輸入是一定要驗證的要符合你想要的內容標準 11/12 18:30

→ rockmanalpha: 網頁顯示的或者用前端來限制輸入只是讓使用者不會 11/12 18:31

→ rockmanalpha: 錯誤輸入不符的內容 11/12 18:31

推 wilson200106: 原po帥哥還是乖乖用ajax+token吧 11/12 19:30

推 rickysu: 寫網頁程式的鐵則--不要相信任何 user 傳來的資料。 11/13 09:07

→ rickysu: 不要去期望 user 傳來的資料都會符合你的預期。 11/13 09:08

→ rickysu: 比較正確的作法應該是自己作個 filter 去篩選資料 11/13 09:09

→ rickysu: 只要收到的資料不是 a1,b2 那就返回錯誤。 11/13 09:10

→ s0920151048: 不要相信前端傳進來的資料 11/14 20:43

→ TobyH4cker: ㄏㄏ 11/16 14:27

→ TobyH4cker: 還有助教跟我說我這是在攻擊伺服器 11/16 14:28

→ MOONRAKER: 可以算是啊 HTML injection (?) 11/16 18:12

→ KawasumiMai: 就算都是自己寫的，也要假設有人使用非法UI 11/16 23:36

→ KawasumiMai: 所有跟預想值不符的範圍都要篩掉，不能吃或引起crash 11/16 23:36

→ see7di: 就算你封掉了這兩個工具，可還有其他的，所以別相信任何 12/21 22:55

→ see7di: 來自客戶端的內容 12/21 22:55