在 php 中更新记录时,选择使用 执行操作(通常通过表单和 http 方法,如 post 或 put)还是 超链接(通常使用 get 方法)归结为安全性和最佳实践。这就是为什么执行操作是首选:
安全
- get(超链接): 由链接触发的操作通常使用 get http 方法,该方法旨在检索信息,而不是修改信息。当用于更新或删除时,敏感数据(例如记录 id)可能会在 url 中暴露,使其容易受到 url 操纵或 csrf(跨站点请求伪造)等攻击。
有问题的示例:
update登录后复制
任何人都可以操纵 url 中的 id 来篡改未经授权的记录。
- post(执行操作): 更新应使用带有 post 方法的表单,其中数据在请求正文而不是 url 中发送。这种方法隐藏了敏感信息,并使未经授权的操作变得更加困难,特别是与 csrf 令牌等其他安全措施结合使用时。
推荐示例:
<form action="update.php" method="POST">
<input type="hidden" name="id" value="123">
<button type="submit">Update</button>
</form>
登录后复制
遵守 http 约定
http 协议对每个方法都有明确的意图:
- get: 检索信息(幂等且无副作用)。
- post/put:提交或更新信息(非幂等且有副作用)。
使用 get 进行更新或删除等操作违反了这些约定,并且可能会混淆缓存或代理等中介机构,这些中介机构可能会将 get 请求视为安全且无副作用。
防止意外行为
- 超链接可能会无意中触发(例如,意外点击或机器人跟踪链接)。
- 使用 post 的表单,尤其是添加了确认步骤,可以降低意外执行的可能性。
与高级安全性和验证的兼容性
使用表单可以无缝集成其他安全措施,例如:
- csrf 令牌: 防止恶意跨域请求。
- 输入验证:提交表单之前验证记录 id。
- 权限控制:在呈现表单之前验证用户访问权限。
使用执行操作(通过带有 post 或 put 的表单)更新记录是推荐的方法。这可确保更好的安全性、符合 http 约定并降低意外操作的风险。超链接应保留用于不会改变系统状态的导航或只读操作。
以上就是为什么使用 POST 进行更新比超链接更安全的详细内容,更多请关注慧达安全导航其它相关文章!
免责 声明
1、本网站名称:慧达安全导航
2、本站永久网址:https//www.huida178.com/
3、本站所有资源来源于网友投稿和高价购买,所有资源仅对编程人员及源代码爱好者开放下载做参考和研究及学习,本站不提供任何技术服务!
4、本站所有资源的属示图片和信息不代表本站的立场!本站只是储蓄平台及搬运
5、下载者禁止在服务器和虚拟机下进行搭建运营,本站所有资源不支持联网运行!只允许调试,参考和研究!!!!
6、未经原版权作者许可禁止用于任何商业环境,任何人不得擅作它用,下载者不得用于违反国家法律,否则发生的一切法律后果自行承担!
7、为尊重作者版权,请在下载24小时内删除!请购买原版授权作品,支持你喜欢的作者,谢谢!
8.若资源侵犯了您的合法权益,请持 您的版权证书和相关原作品信息来信通知我们!QQ:1247526623我们会及时删除,给您带来的不便,我们深表歉意!
9、如下载链接失效、广告或者压缩包问题请联系站长处理
10、如果你也有好源码或者教程,可以发布到网站,分享有金币奖励和额外收入!
11、本站资源售价只是赞助,收取费用仅维持本站的日常运营所需
12、因源码具有可复制性,一经赞助,不得以任何形式退款。
13、本文内容由网友自发贡献和站长收集,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系1247526623@qq.com
转载请注明出处: 慧达安全导航 » 为什么使用 POST 进行更新比超链接更安全
发表评论 取消回复