$ _POST, $ _GET 및 보안

Question

$_POST & $_GET에 보안 문제가 있는지 궁금합니다. 의는 PHP 파일 이름은 사용자가 단지 delete.php?id=423&name=Jack 같은 것을 쓸 수 있으며 것 delete.php라고하자 이제

if(isset($_POST['id'])) { 
    $client_id = mysql_real_escape_string($_POST['id']); 
    $client_name = mysql_real_escape_string($_POST['name']); 

    //Delete the Client 
    $sql="DELETE FROM clients WHERE id='".$client_id."'"; 
    mysql_query($sql) or die(mysql_error()); 

    //Client Pages Delete 
    $sql="DELETE FROM fanpages WHERE client='".$client_name."'"; 
    mysql_query($sql) or die(mysql_error()); 

:

의 내가 다음과 같이 PHP 파일에 데이터를 보내는 AJAX 코드가 있다고 가정 해 봅시다 질의하고 클라이언트를 삭제 하시겠습니까?

처음에는 COOKIE 수표를 추가 할 생각 이었지만 COOKIE도 위조 될 수 있다는 것을 알고 있습니다. 맞습니까?

그럼 보안을위한 솔루션은 무엇입니까 $_POST & $_GET DB quires의 조합으로 요청 하시겠습니까?

편집 :이 모든 사용자 암호 보안 영역의 내부에 발생하지만 유일한 delete.php 파일에 대한 부탁 해요, 난이이 파일에 COOKIE 검사를 추가해야합니까?

EDIT2 : 스크립트는 COOKIE의 세션이 아니므로 시스템에 세션을 추가해야합니까? 같은 시스템에 쿠키와 세션이 있어야합니까?

Answer 1

트릭은 데이터를 올바르게 벗어나서 SQL injections을 방지하는 것입니다. 사용자 삭제와 관련하여 추가 안전성을 원한다면 로그인 또는 무언가를 요구할 수 있습니다.

session_start(); 

// ... 

if (true === $_SESSION['userLoggedIn']) { 
    // your code 
} 

물론 로그인 양식을 제출하면 인증 절차가 필요합니다.

Here is a great example!

Answer 2

당신은 그런 sensative 요청을 발행하는 클라이언트 로그인 허용해야한다 (예를 들어 MySQL 데이터베이스를 쿼리하고 사용자의 테이블에 대해 사용자 이름과 암호를 테스트). 세션 사용 파일의 시작 부분에서 session_start();

비어있는 경우 $ _SESSION [ "username"]을 (를) 확인하고 삭제하지 않지만 사용자 이름이 있으면 (로그인시 설정) 사용자를 확인합니다. 이 작업을 수행 할 수있는 권한이 있습니다.

Answer 3

이 스레드는 세션을 목표로 설정되어 있지만 현재 귀하의 쿠키가 안전하지 않을 것으로 예상됩니다. 쿠키를 훔쳐 가기 쉽습니다. 당신은 세션을 수행해야합니다,하지만 당신은 당신은 인증의 일종을해야

PHP Session Security