將JavaScript變量發送到PHP變量的安全性

Question

我有一個關於安全性的問題。我有一個Javascript變量：

var toSearch = "something" 

我想發送這個變量到另一個php頁面。我正在使用會話：<?php session_start(); ?>

從我讀過的我需要使用AJAX GET/POST過程將此JavaScript客戶端變量傳遞給PHP服務器端。

我知道這是可能的做到這一點：

window.location.href = "myphpfile.php?name=" + javascriptVariable; 

然後$_GET['name']變量。我讀過這不安全？是嗎？

Answer 1

這只是不安全的，取決於你對它做了什麼。任何人都可以在地址欄中輸入他們喜歡的任何內容，而且您無法控制該內容。舉例來說，我可以去

http://example.com/myphpfile.php?name=fuzzball 

現在，這本身並不危險，但如果我是把一些MySQL的代碼和你在MySQL數據庫中，沒有禁制直接放置這一點，那麼它的危險。如果我把HTML顯示給其他用戶，那麼這很危險。

所有你需要做的就是記住儘管GET和POST並不危險，但它們不能被信任爲你所期望的那樣，因此你應該確保它們在服務器端，它可以在那裏值得信賴。

Answer 2

那麼更好的解決方案是，如果你不想強制頁面重新加載，那麼請使用ajax請求。關於安全方面的相同，因此每個用戶都可以操控自如查詢字符串...我們有這個地址吧:)

window.XMLHttpRequest = window.XMLHttpRequest || window.ActiveXObject('MSXML2.XMLHTTP') || window.ActiveXObject('Microsoft.XMLHTTP'); 

var ajax = new XMLHttpRequest(); 

ajax.open('get', 'page.php?name=' + javascriptVariable, true); 

if (ajax.readyState == 4 && ajax.status == 200) 
{ 
    // ajax.responseText is the result from php server 
    // ajax.responseXML is the result from php server 
} 

ajax.send(null); 

Answer 3

如果你不擅長JavaScript或Ajax請求，我建議jQuery的阿賈克斯方法。 jQuery的記錄非常好，適合初學者。

此外，您的變量設置不正確。應該是：

var toSearch = "something"; 

因此，請訪問：http://api.jquery.com/jQuery.ajax/即可開始使用。

如何做到這一點的示例。

JS：

function myFunction() { 

    var toSearch = "something"; 

    $.ajax({ 
     url: 'mysite/action_page.php?toSearch=' + toSearch, 
     success: function(data) { 
      alert('Here is some data from the $_GET request: ' + data); 
     } 
    }); 

} 

PHP：

<?php 
    /** 
    * I strongly suggest a security measure here 
    * ie: if($_GET['token'] != $_SESSION['token']) die('access not permitted'); 
    */ 


    //init 
    $search_string = ''; 

    //set 
    $search_string = htmlspecialchars(trim($_GET['toString']), ENT_QUOTES); 
    //TAKE A LOOK AT PHP.net IF YOU DON'T KNOW WHAT THE TWO METHODS ABOVE DO. 
    // will help prevent xss 

    echo $search_string; 

    //all done! 
?>