小弟最近在做php和ajax的网页其中后台程序houtai.php里有以下代码:<?
header("Content-type: text/html;charset=GBK");//输出编码,避免中文乱码
switch ($go1) { //判断ajax传过来的命令,判断要执行的操作
case "判断用户登录" :
echo "成功登录!";
break;//判断用户登录
}
?>在前台提交了登录表单后
可以在页面上显示出 成功登录!
但是直接在地址栏输入 127.0.0.1/HouTai.php?go1=判断用户登录
也可以在页面上显示出 成功登录!这可很危险呀,不用登录就可以直接对网站系统操控了,
请问php和ajax做的网页如何保证安全?
header("Content-type: text/html;charset=GBK");//输出编码,避免中文乱码
switch ($go1) { //判断ajax传过来的命令,判断要执行的操作
case "判断用户登录" :
echo "成功登录!";
break;//判断用户登录
}
?>在前台提交了登录表单后
可以在页面上显示出 成功登录!
但是直接在地址栏输入 127.0.0.1/HouTai.php?go1=判断用户登录
也可以在页面上显示出 成功登录!这可很危险呀,不用登录就可以直接对网站系统操控了,
请问php和ajax做的网页如何保证安全?
解决方案 »
- php 创建网站快捷方式 代图标
- php里面怎么防止数据库注入攻击!!
- curl命令的疑问
- nusoap 的webService开发问题
- 一下程序原本可以登录,为啥我加了自动登录部分(前面1-15行),系统检测不到用户资料后不显示登录界面出来,请帮忙看看,多谢了
- Apache服务器绑定域名
- ----权限分配----
- 小问题,!!解决给分!!50
- 用php输出语句进行显示时整型数变成了(100.00)日期型数变成了(1999-1-1 00:00:00.000)
- 关于 simplexml_load_file ,如何将远程XML保存到本体,隔时间更新呢?
- 日程安排的功能 求高手支招
- PHP页面调用PHP页面怎么写?
2、ajax 提交时附加额外的身份识别标志
采用 POST 方式问题是后台如何知道用户没有 直接在地址栏输入 127.0.0.1/HouTai.php?go1=判断用户登录
不理睬 $_GET 不就行了吗?
你要求POST你就检查$_POST,你管GET干什么。用户输入账号密码登陆成功就在session里记下来就行了, 客户端拿着COOKIE:PHPSESSIONID就可以保持会话了。 除非其他人来这个人电脑上把cookie偷走,否则就很安全了。 用户不提交我们发给他的COOKIE也无所谓,给它创建新的会话就行了,状态未登录。
echo "登陆成功";
else
echo "非法登录";
$nm = $_POST("name");
二:对ajax传输的数据进行加密
三:采用用户名密码方式,引入session处理安全机制