我可以混淆一個PHP函數調用

Question

我有一個JavaScript函數是這樣的：

function delPhoto(thisPhotoID) { 
    $("#php").load("delphoto.php?id=" + thisPhotoID); 
} 

這個PHP函數刪除從MySQL數據庫中相應的照片，但是任何人誰看的源網頁可能惡意呼叫帶有任意數字的delphoto.php腳本並從數據庫中刪除隨機照片。

有沒有一種方法可以混淆這個函數調用，以至於無法完成，或者PHP函數拒絕來自網頁外部的調用嗎？

Answer 1

我想知道如果我能實現某種校驗，使得delphoto.php會知道，這是一個有效的電話，

如：

delphoto.php?id=13&checksum=A4F8W9 

，其中13相當於A4F8W9和不正確的校驗這不會是一個有效的電話？所以如果有人想試圖刪除圖像＃14，他們需要弄清楚如何計算正確的校驗和。

Answer 2

但是，任何查看網頁源代碼的人都可能會惡意地用任何數字調用delphoto.php腳本並從數據庫中刪除隨機照片。

如果我想搞砸你的網站，或者即使我只是好奇和p around，，，爲你的照片提供數字標識可用於世界是一個很好的開始。特別是像「delphoto」這樣的東西。如果我想在你的服務器上加載負載並且一般都會讓你感到困擾，那麼我會設置一個腳本來錘擊我可以並行處理的每個ID。這不僅會給用戶造成數據丟失的麻煩，而且還取決於這次調用是否從磁盤上刪除照片，這也可能會佔用服務器資源。

有沒有一種方法可以模糊這個函數調用，以至於無法完成，或者有沒有辦法讓PHP函數拒絕來自網頁外部的調用？

這很好，你有足夠的自覺去理解你目前的安全。但混淆不能替代實際的安全性。 任何網站上的管理功能應由用戶系統和角色管理方案加以保護。就用戶和管理員而言，應該有一個明確的區別，只要誰可以在網站上做什麼。

我不知道你是否在使用框架，但顯然我們不能告訴你如何在沒有看到你的用戶系統如何工作的任何代碼的情況下保護端點。但是，如果你有一個你需要考慮的文件，並確定如何檢查，如果用戶是：

1. 已登錄
2. 具有運行動作

根據你的系統的權限確實，這可能需要改變。例如，管理員應該能夠刪除任何東西。但用戶應該只能刪除自己的照片。因此，「運行該操作的許可」的一部分將具有所有權檢查。

Answer 3

安全問題1：
切勿以這種方式後端：建立一個位指示; 前端只能與控制器進行通信，因此所有的PHP腳本會被隱藏起來，爲用戶

安全問題2：
使用令牌對於這種操作

1生成系統隨機數，例如：使用uniqid()，其存儲在列表或關聯數組（用戶令牌），並在Memcached，ANYEM或Redis數據服務器推
2 - 生成你的鏈接：

"controller?action=delete&imageId=" . $photoID . "&token=" . $tokenId"; 

-3-當執行方法DELETE，驗證接收到的$tokenId，如果動作是允許的，刪除從數據服務器所存儲的令牌（它必須只能使用一次）