在我的網站上,我爲博客文章創建了評論部分。用戶可以寫評論,點擊一個按鈕,並將AJAX請求發送到包含JSON數據的PHP。 PHP將處理&驗證數據,然後將其插入到數據庫中。成功後,所有評論都從數據庫中檢索出來,並使用JQuery重新加載頁面的所有評論。防止假循環Ajax請求到PHP
問題是任何人都可以前來使用瀏覽器的控制檯僞造一個AJAX請求,填寫他們自己的JSON並將請求發送到PHP。如果這樣做,所發生的只是我的客戶端驗證是無用的。服務器端驗證仍然有效。但是,還有一個更大的問題。
for(var i = 0; i < 10000; i++) {
//ajax request
}
用戶可以很容易地將數千和數千記錄立即插入到我的數據庫中。
有沒有人有任何建議,我可以如何防止這樣的事情發生?它必須涉及在服務器端創建一些無法被用戶猜到的東西,並且在AJAX請求期間以某種方式檢查它。我只是不確定如何去做這件事。
感謝您的幫助。
有人可以做同樣的事情,只需查看發送ajax請求的地址並用任何語言編寫腳本(如shell腳本和捲曲)發送連續的數據請求。 Google對PHP的速率限制。 – Anthony