一个表单两个input一个名a一个名为b
再一个提交按钮name=submit value=xxx..
有时候经常看到别人判断是否存在submit这个变量来判断是否用户点击提交但这一步的话是用来防止什么?我以前只是瞎跟风,现在写的表单处理多了想想自己写这行代码到底是为了防止啥...我也不清楚非点击方式的post吗?
正常网页操作中是不会的吧
那么就是防止别人curl?
但别人就不会学着添加一个名为submit的参数吗?所以我想问其实这一步是不是多余的?
我的处理里有身份权限验证,登陆验证,就差表单令牌懒得弄进去做验证了.(顺便问下没有表单令牌的话,已经注册的恶意用户如果另存表单页面自己改造一下进行点击post的隐患是不是很大?因为这样尽管是在他本地的html文件点击提交,但是由于他是站内用户,有这个相应的操作权限,也有session,过得了权限验证和登陆验证..但想了想,表单令牌貌似也有个时效性,未失效前他自己搞开去改造也能通过验证.归根到底还是要从字符过滤上下手?)
再一个提交按钮name=submit value=xxx..
有时候经常看到别人判断是否存在submit这个变量来判断是否用户点击提交但这一步的话是用来防止什么?我以前只是瞎跟风,现在写的表单处理多了想想自己写这行代码到底是为了防止啥...我也不清楚非点击方式的post吗?
正常网页操作中是不会的吧
那么就是防止别人curl?
但别人就不会学着添加一个名为submit的参数吗?所以我想问其实这一步是不是多余的?
我的处理里有身份权限验证,登陆验证,就差表单令牌懒得弄进去做验证了.(顺便问下没有表单令牌的话,已经注册的恶意用户如果另存表单页面自己改造一下进行点击post的隐患是不是很大?因为这样尽管是在他本地的html文件点击提交,但是由于他是站内用户,有这个相应的操作权限,也有session,过得了权限验证和登陆验证..但想了想,表单令牌貌似也有个时效性,未失效前他自己搞开去改造也能通过验证.归根到底还是要从字符过滤上下手?)
解决方案 »
免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货