【发布时间】:2014-12-13 18:35:55
【问题描述】:
我经常像这样使用AJAX写入MYSQL数据库
$.ajax({
url: "writescript.php",
type: "POST",
data: { data : mydata,//this could be anything
},
success: function (html) {
//do something
}
});
writescript.php 看起来像这样
$data=$_POST["data"];
//and then write into database.
现在一切正常,但任何人都可以查看 ajax 请求,因为它是纯 JS 并且可以从页面源中查看。鉴于有关脚本名称和参数的信息,攻击者也可以尝试调用writescript 并写入我的数据库或根据脚本的功能进行读取。这显然不好。那么我在这里错过了什么吗? AJAX 不是为这些东西设计的吗?还是我用错了?
【问题讨论】:
标签: javascript php jquery ajax csrf