向高手求教:php post提交问题
小虾做了一个程序:通过Ajax 技术调用后台PHP的执行过程 向Mysql写数据库,功能是实现了。
后来发现有用户通过 url直接拼凑参数手工通过网址输入方式调用php的执行过程。
问题1: 有什么好的办法可以禁止直接手工通过网址向后台提交呢?
我查了一些帮助,大意是提交前:通过时间t向后台提交获得相对应的加密键值k1,
在正式提交时,将t与k1都提交,后台通过t重新加密得出k2,如果k1与k2相同,则执行写入数据库过程。
问题2:这种方式,增加了获取键值k1这个过程,肯定比不获取k1多费时间。 有什么办法规避呢?
问题3:获取加密键值k1这个过程又如何保证不被别人直接手工通过网址向后台调用呢?
恳请高人指点!
谢谢先!
------解决方案--------------------使用sesseion可以防止恶意注入数据,具体方法:http://www.ibihuo.com/show-60.html
------解决方案--------------------在前台用js做的限制和判断 要在PHP中再判断一次 否则遇到你说这种绕开js验证的时候就悲剧了
------解决方案--------------------地址栏上的参数,能用$_POST取的到?你在程序里用$_POST接收表单传过来的数据。如果他用地址栏直接输入参数,难道$_POST会接收到?