如何保護jquery ajax使用的php頁面

Question

我剛完成編碼我的第一個jQuery ajax調用頁面。它每1或2秒調用一次php頁面並返回json數據。

該頁面基本顯示用戶正在查看的留言板的帖子。有多個留言板，一些用戶不應該能夠查看某些板卡，但是同一個php頁面用於呼叫。它使用由ajax腳本發送的$ id來消息消息。

我的問題是我將如何保護PHP頁面不被直接操作和打開？用戶可以通過直接打開文件並更改URL來輕鬆更改電路板ID。更不用說其他方式了。

如果沒有簡單的方法，那麼我想我必須複製大部分的主頁來檢查用戶是否有必要的權限。這意味着更多的服務器負載，因爲頁面每秒更新一次。

Answer 1

Ajax調用由服務器以與正常頁面請求相同的方式處理。所有的認證和授權機制在提供頁面之前都會被調用。確保註銷並嘗試使用AJAX從您的頁面獲取內容。如果您的網頁需要您登錄該網站，則該功能無效。

Answer 2

將權限保存在會話中，並檢查該特定標誌是否存在？

Answer 3

在ajax腳本中，您也可以使用$_SESSION - 您可以檢查當前用戶是否具有指定ID的特權 - 如果不是 - 只是拒絕訪問。

Answer 4

如果一個AJAX調用可以打開該頁面，那麼用戶也可以這樣做，您不能依賴權威技術來保護頁面。休息一下，你可以按照@TheVillageIdiot在他的回答中所說的話。