PHP kullanarak basit bir sohbet oluşturmaya çalışıyorum. Her şey beklendiği gibi çalışıyor, ancak potansiyel bir “istismar” ile karşılaştı. Tüm sohbet verilerini almak için bir AJAX kullanıyorum (Facebook, Twitter vb. Gibi). Şimdi sorun geliyor: Şu anda sohbet kimliğini dinamik olarak oluşturulmuş div içerisinde saklıyorum. Örneğin" içinPHP Chat - id html5 içinde depolama?
<div class="chat" chat_id="4">
....
</div>
biri herhangi girilen metin veritabanı içinde hatalı id altında depolanacak neden olacak tarayıcı üzerinden chat_id değiştirmek mümkün olacaktır. Bunu önlemek için en iyi yolu ne olurdu?
. Bu sohbet kimliği geçerli olduğundan emin olmak için, doğrulama amacıyla temelde ben şu anda tüm alınan/başlattığı sohbet ayrıntıları (gönderen, id sohbet) $ _SESSION değişken içinde saklandığı bir yöntem düşündümolduğunu Geçerli kullanıcı için
Bunu yapmanın daha iyi bir yolu var mı? Teşekkür ederim.
Neden 'chat_id' attr olurdu bir örnek? – user3284463
Ayrıca ajax çağrılarını değiştirebilirler. Kullanıcıları bunu neden engellemelisiniz? Başka bir sohbette yazmak isterlerse (erişebildikleri) neden onlara izin vermezler? Bunu neden js olarak ayarlamasın ki? Yine de güvende olmaz - müşteri çağrıları/verileri yoktur. Müşteri, tanımlayarak/göndererek/aldıklarıyla ilgili her şeyi değiştirebilir. – h2ooooooo
Sohbet kimliğini oturumda saklarsanız, mesajları alırken kullanıcıyı kontrol edebilirsiniz. Kullanıcı oturumda bu sohbet kimliğine sahip değilse, hiçbir şey yapmayın. Bir not olarak, 'chat_id =" "' özniteliğini 'data-chat-id =" "' özniteliğiyle değiştirmeyi öneriyorum. '-' ve' data- * ' –