아약스 기능을 사용하는 방법

Question

인터넷을 검색했지만 찾고있는 정보를 찾을 수 없습니다. 그래서 간단한 질문이거나 밀리언 시대에 물으면 미안 해요.

저는 (아마도) 많은 Ajax 기능을 가진 웹 사이트를 개발하고 있습니다. 이제 FaceBook이 'Like'버튼과 같이이 작업을 수행하는 방법에 대해 궁금합니다. addLike.php? post_id = 1 페이지에 대한 아약스 호출을 사용하면 방문객이 악의적 의도를 가지고이 URL을 사용하여 임의의 값을 post_id에 추가하여 db를 조작 할 수 있습니다.

어떻게 방지 할 수 있습니까? 또는이 작업을 수행하는 가장 좋은 방법은 무엇입니까?

Answer 1

가장 먼저하는 'GET'HTTP 요청, 예를 들어,에서 액세스 할 수없는 안 (등 데이터베이스에 저장 뭔가, 파일) 데이터 항목에 돌연변이를 만들기 위해 호출 포럼에서 게시물을 삭제합니다. 예를 들어 jQuery를 사용한다고 가정 할 때, 게시물에 추가하는 경우, $.post을 사용하여 ajax 요청을 수행해야합니다.

또한 인증 및 권한 부여는 모든 요청에 ​​응답하기 전에 수행되어야합니다. 즉, 사용자가 게시물에 같은 것을 추가하고 싶다면 인증을 받아야하며 특정 작업을 수행 할 수 있어야합니다. 지배적 인 웹 프레임 워크는 자동으로 구성을 달성하는 데 도움이됩니다.

더 많은 경우 데이터 sanitization을 통한 XSS 공격도 방지해야합니다. 자세한 내용은 Google에 문의하십시오.