UC知道ajax 的 HTTP_REFERE 为空怎么办?
来源:百度知道 编辑:UC知道 时间:2024/07/07 10:57:41
有写过网站的程序员可能就知道
在提交<form>表单时 后台要对<form>传来的数据进行过滤后再加入到sql语句否则很容易被注入。
但本人有某种原因不想在后台过滤,需要在前台直接用javascript过滤。
等做完之后才想到一个问题:
如果客户端在自己电脑上写一个<form>表单
直接action到我的网站上,那我的javascript就过滤不到<form>表单的数据了!
于是便想起$_SERVER['HTTP_REFERE'] 涵数,但本人的网站都采用ajax技术
$_SERVER['HTTP_REFERE'] 返回的值都是空的!况且$_SERVER['HTTP_REFERE']是很容易伪造的 也没一点安全性可言!
不过网上有部分朋友提到用session代替$_SERVER['HTTP_REFERE']。
但本人愚昧实在想不出如何使用session代替$_SERVER['HTTP_REFERE']的方法
请大家帮忙想想办法!
若能满意定会再加分数!!!
在提交<form>表单时 后台要对<form>传来的数据进行过滤后再加入到sql语句否则很容易被注入。
但本人有某种原因不想在后台过滤,需要在前台直接用javascript过滤。
等做完之后才想到一个问题:
如果客户端在自己电脑上写一个<form>表单
直接action到我的网站上,那我的javascript就过滤不到<form>表单的数据了!
于是便想起$_SERVER['HTTP_REFERE'] 涵数,但本人的网站都采用ajax技术
$_SERVER['HTTP_REFERE'] 返回的值都是空的!况且$_SERVER['HTTP_REFERE']是很容易伪造的 也没一点安全性可言!
不过网上有部分朋友提到用session代替$_SERVER['HTTP_REFERE']。
但本人愚昧实在想不出如何使用session代替$_SERVER['HTTP_REFERE']的方法
请大家帮忙想想办法!
若能满意定会再加分数!!!
建议你还是在后台过滤!!!
如果只是嫌麻烦就直接写个连接数据库的类!
把过滤数据库的涵数与撰类写在一起!
后台都不一定安全,前台过滤就别想安全了。
你得想