0
我正在開發一個PHP/MySQL消息傳遞應用程序,用戶可以在其中查看對話並回復它。在消息的視圖頁面上我有一個回覆字段。爲了保存答覆,我需要知道正在回覆的消息的ID。我一直試圖通過這種方式傳遞這個ID,這既安全又可靠。帶POST的簡單隱藏字段不會這樣做,因爲用戶可以篡改數據並修改他正在回覆的消息。在視圖頁面上使用消息的id創建會話變量會提供安全性,但會導致非常不希望的副作用:如果用戶在打開正在回覆的消息後查看另一個消息,則會將該響應發佈到其他消息。什麼是最好/最安全的方式來傳遞一個ID從一個頁面到另一個?
任何人有任何替代品?
如果你沒有服務器端的權限檢查,怎麼辦你完全確定用戶是否可以回答? –
我這樣做,但沒有什麼能阻止一個人去回覆消息,發送回覆並篡改正在回覆的消息的ID。 –
服務器端權限會阻止他... –