사용자가 댓글을 달 수있는 항목이있는 경우 사용자가 답장하는 항목을 전달하는 방법은 무엇입니까?양식 POST 또는 세션?
<form method="post" action="blah">
<input type="hidden" name="item_id" value="<?php echo $item_id; ?>">
<!-- other form data here -->
<input type="submit" name="submit">
</form>
또는 단순히 세션 사용 :
$_SESSION['item_id'] = $item_id
을
나는 형태로 숨겨진 필드를 사용하지만이 쉽게 불을 지르고 같은 플러그인을 사용하여 변경할 수 있습니다 적이 있지만 양식에 항목 데이터를 보내는 안전한 방법이 있습니까?
편집 : 이 검증 후 ... 나는 (등 형태의 토큰) 일부 XSS 보호 기능을 구현합니까입니다. 내가 묻는 이유는 단지 최선의 관행이 무엇인지 아는 것이 었습니다. ID를 클릭 일치
<input type="hidden" name="item_id" value="<?php echo $id?>">
마지막 세션을 확인하십시오 : 그러나
if ($_SESSION('item_id') !== $item_id) //the value posted in the form
{
die('There\'s got to be a morning after
If we can hold on through the night
We have a chance to find the sunshine
Let\'s keep on looking for the light');
}
나는 다음 양식에
$_SESSION['item_id'] = $id //this is set when they visit the current item
같은 일을하지만 숨겨진 필드가 일부 의견을 읽은 후에 이것이 나쁜 생각이라고 생각하십니까?
공정하게 (@Surreal Dreams) : 그들이 이드를 변경하면 큰 문제는 아니지만, 내가 말했듯이, 나는 최선의 방법을 찾고있었습니다.
건배.
것이 바람직 할 것 게시물 ID를 스푸핑하는 사용자의 위험은 무엇입니까? –