我被告知这很简单,但人们查看$ _POST []数组中的内容,这真的很容易吗?黑客如何做到这一点,我该如何预防呢?我应该开始在SESSION []数组中存储更多项吗?
POST数组完全由客户端传输的数据填充,其中的所有内容都应该是可疑的.所以不要从回发请求中取出一个数字,并为其设置某人的帐户余额.
此外,"POST"只是一种HTTP请求,这意味着它以纯文本形式发送.不要求客户端通过POST向您发送登录密码,除非您使用SSL包装HTTP流(使用https://并正确配置您的网络服务器),因为您无法控制客户端和服务器之间的网络.主要网站通常不这样做(出于性能原因),但所有网上银行都已经这样做了至少10年.