Maison > développement back-end > tutoriel php > post怎么传值比较安全

post怎么传值比较安全

WBOY
Libérer: 2016-06-23 14:04:31
original
1130 Les gens l'ont consulté

如果form表单传值的话赶紧不太安全。
比如说我要把某些参数hidden起来进行传值的话,然后我用chrome查看元素修改hidden里面的post的值的话,那么传值过去的就是我已经修改过的post值了。

不知道大家能不能看懂我的意思


回复讨论(解决方案)

可以用将军令

别开玩笑,我试过了,改完元素的话传值照样是可以传进去的

form 表单本来就是用来获取用户输入的数据用的,要传一些隐秘的数据一般不用它。

除非发送方的加密和接收方的解密都是独立控件,不然就没什么安全可言

https最安全

form 表单本来就是用来获取用户输入的数据用的,要传一些隐秘的数据一般不用它。

那像支付宝价格参数怎么传过去呢?demo里面给的是post过去的。
我现在没辙了准备把价格弄到session里面传过去了

为什么要放在 hidden 中传来传去呢?

再说你收到后就不核对一下么

再说你收到后就不核对一下么

对了,核对一下,脑子秀逗了

然后除了get和post的话像这种比较重要的数据传值的话我是真的不太清楚怎么传值,所以才来问问有经验的人

<input size="30" type="hidden" name="WIDtotal_fee" value="{wa:$order.c_price}" />
Copier après la connexion

SSL

客户端其实保证不了的,你只能在服务器端做校验,看传来的对不对。

还有你说的“弄session传过去”,你搞错了吧!

price 显然不能依赖传入的值(正像你说的那样可能被篡改)
既然是需要在接收后核实,那么就没必要放到表单中去了

price 显然不能依赖传入的值(正像你说的那样可能被篡改)
既然是需要在接收后核实,那么就没必要放到表单中去了

我明白这么做肯定是非常不对的,但是我现在不知道应该怎么把price的值安全给到下一个支付页面。

现在我的传值一般用的都是get,post,session,就用过这三种方法。

楼上说的ssl传值的话说实话一点也没接触过,还是说像支付price这类关键参数都是ssl传值过去的?

curl 或 sock
肯定不会是通过用户表单提交的

在下一个页面, 再算一次,价格!

在服务端根据用户购买的商品的ID再查一次数据库,进行价格计算
然后给出价格确认页面就可以了

post比get要安全,可以尝试使用AJAX

curl 或 sock
肯定不会是通过用户表单提交的

+1
不应由客户端直接传到第三方
应该提交到服务器端,再由服务器端程序做一次安全校验,再传给第三方
这样,除非采用极端手段,不然只能拦截/修改客户端->服务器端,不能拦截服务器->第三方

Étiquettes associées:
source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal