当用户回复帖子时,我已经拥有了它;我使用$id = $_GET['id']并将变量传递给回复表单中隐藏的只读输入。
我使用的另一种方法是数据属性,我使用jQuery检索,然后使用ajax提交表单。可以在firebug中更改数据属性。
防止篡改html隐藏字段/数据属性的好方法是什么?
我考虑过使用会话。例如,如果用户打开了多个窗口:page1.php?id = 1,page2.php?id = 2,page3.php?id = 3。我将如何存储和检索会话?我无法打开多个窗口的确定会话名称。
答案 0 :(得分:2)
显然你不能阻止用户改变HTML客户端(你可能会让它变得困难,但并非不可能)。如果您担心人们回复线程他们无权回复,您应该处理该服务器端(在发布之前检查权限)。这样,用户可以随心所欲地更改ID,但他们仍然只能回复允许他们回复的帖子。
另一种选择可能是在查询字符串中使用加密的id,但在这种情况下,我仍然会检查服务器端的权限。