在 php 中更新记录时,选择使用 执行操作(通常通过表单和 http 方法,如 post 或 put)还是 超链接(通常使用 get 方法)归结为安全性和最佳实践。这就是为什么执行操作是首选:
安全
get(超链接): 由链接触发的操作通常使用 get http 方法,该方法旨在检索信息,而不是修改信息。当用于更新或删除时,敏感数据(例如记录 id)可能会在 url 中暴露,使其容易受到 url 操纵或 csrf(跨站点请求伪造)等攻击。
有问题的示例:
任何人都可以操纵 url 中的 id 来篡改未经授权的记录。
post(执行操作): 更新应使用带有 post 方法的表单,其中数据在请求正文而不是 url 中发送。这种方法隐藏了敏感信息,并使未经授权的操作变得更加困难,特别是与 csrf 令牌等其他安全措施结合使用时。
推荐示例:
遵守 http 约定
http 协议对每个方法都有明确的意图:
get: 检索信息(幂等且无副作用)。post/put:提交或更新信息(非幂等且有副作用)。
使用 get 进行更新或删除等操作违反了这些约定,并且可能会混淆缓存或代理等中介机构,这些中介机构可能会将 get 请求视为安全且无副作用。
防止意外行为
超链接可能会无意中触发(例如,意外点击或机器人跟踪链接)。使用 post 的表单,尤其是添加了确认步骤,可以降低意外执行的可能性。
与高级安全性和验证的兼容性
使用表单可以无缝集成其他安全措施,例如:
csrf 令牌: 防止恶意跨域请求。输入验证:提交表单之前验证记录 id。权限控制:在呈现表单之前验证用户访问权限。
使用执行操作(通过带有 post 或 put 的表单)更新记录是推荐的方法。这可确保更好的安全性、符合 http 约定并降低意外操作的风险。超链接应保留用于不会改变系统状态的导航或只读操作。
以上就是为什么使用 POST 进行更新比超链接更安全的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1282651.html
微信扫一扫 
支付宝扫一扫 
