如何保護我的html + PHP表單以防止用戶被黑客入侵/更改

Question

我在我的網站上遇到了一個很大的問題，我花了幾個月和幾個月的時間進行研究。問題在於用戶能夠使用像螢火蟲和其他類似方法的工具來更改我的網站的HTML。問題是，如果用戶更改了部分表單，他們可能會更改消息/帖子/等等的內容。

我現在有意見，形式交往，職位和其他形式的大部分建立了這樣的（只要發送給使用用戶信息：

<form rel="1"></form> 

我用rel爲存儲的地方因此這將發送給ID爲1的用戶。然後問題是如果用戶在HTML中將其更改爲5，那麼將提交表單然後將其發送給用戶5.如何當信息到達服務器時，是否有可能再次檢查此信息，以便在發生更改或其他情況時不會通過。

我能想到的唯一辦法是對用戶ID進行哈希處理，然後將該值存儲在rel中。這不會解決問題，但它可能會讓別人更難找出問題。

Answer 1

將用戶標識存儲在會話中。依靠來自用戶輸入的重要事情是一個可怕的想法。

session_start(); 
$_SESSION['user'] = array(); 
$_SESSION['user']['id'] = $result_set['id']; // or however else you may have retrieved their UID 
$_SESSION['user']['name'] = $result_set['username']; // STORE ALL THE VARIABLES!!! 

Answer 2

你應該考慮這樣做

1. 用戶ID和用戶應存放在明確
2. 密碼應與SHA和鹽被散列，鹽長度應爲相對平等SHA hash的長度（256,512等）
3. 如果$ _SESSION ['userid']與數據庫用戶標識和$ _SESSION ['session_key'相匹配，則使用會話密鑰，服務器和$ _SESSION中存儲的隨機字符串']匹配數據庫session_key，這是安全的
4. 在會話中使用過期計時器，存儲會話應該過期的時間值，始終檢查會話是否有效或是否過期
5. 沒有驗證數據應該作爲純HTML存儲在任何DOM元素中，它應存儲在會議或最壞情況下的Cookie