2011-11-04 62 views
0

我已經搜索了互聯網,但是我找不到我正在尋找的信息。所以我很抱歉,如果這是一個簡單的問題或問米爾瓊時代。如何使用ajax功能

我正在開發一個網站(可能)有很多Ajax功能。現在我想知道FaceBook是如何做這個的,比如'Like'按鈕。如果我使用ajax調用頁面addLike.php?post_id = 1,則訪問者(具有惡意)可以使用此URL通過向post_id添加隨機值來操縱我的db。

我該如何預防?或者什麼是最好的方式來做到這一點?

回答

0

首先,對於數據條目(存儲在數據庫,文件等中的東西)進行突變的調用不應該從'GET'HTTP請求中被訪問,例如,刪除論壇中的帖子。也就是說,如果你想添加一個帖子,你應該使用$.post來執行ajax請求(假設你正在使用jQuery)。

而且,在響應每個請求之前,應完成身份驗證和授權。這意味着,如果用戶想要添加一個帖子,他/她應該已被認證並且被允許執行特定操作。現有的Web框架將幫助您自動實現這一點(通過配置)。

此外,您還應該通過數據清理防止XSS攻擊。你可以谷歌它的更多細節。