如何保护我的 html+PHP 表单以防止用户黑客/更改

Question

我在我的网站上遇到了一个巨大的问题，我花了好几个月的时间来解决这个问题。问题在于用户能够使用诸如 firebug 之类的工具和其他类似方法来更改我网站的 HTML。问题是，如果用户更改了表单的一部分，他们可能会更改消息/帖子/等的发送者。

我目前的 cmets、messages、posts 和其他表单大部分都是这样设置的（至于发送用户信息以供使用：

 <form rel="1"></form>

我使用rel 作为存储内容的用户ID 的地方。所以这将转到 ID 为 1 的用户。那么问题是如果用户在 html 中将其更改为喜欢 5，然后提交表单它将转到用户 5。怎么可能仔细检查这个当信息到达服务器时，如果它发生了变化或其他什么，它就不会通过。

我唯一能想到的就是对用户 ID 或其他内容进行散列处理并将该值存储在 rel 中。这并不能解决问题，但它可能会让某人更难弄清楚。

Answer 1

将用户 ID 存储在会话中。依赖用户输入的重要信息是一个糟糕的主意。

session_start();
$_SESSION['user'] = array();
$_SESSION['user']['id'] = $result_set['id']; // or however else you may have retrieved their UID
$_SESSION['user']['name'] = $result_set['username']; // STORE ALL THE VARIABLES!!!

Answer 2

你应该考虑这样做

1. 用户 ID 和用户应明文存储
2. 密码应使用 SHA 和盐进行散列，盐的长度应与 SHA 散列的长度相等（256、512 等）
3. 使用会话密钥，存储在服务器和 $_SESSION 中的随机字符串，如果 $_SESSION['userid'] 匹配数据库用户 ID 并且 $_SESSION['session_key'] 匹配数据库 session_key ，它是安全的
4. 在会话中使用过期计时器，存储会话应过期的时间值，始终检查会话是否有效或是否过期
5. 任何 DOM 元素中都不应将任何身份验证数据存储为纯 html，它应存储在会话或最坏情况下的 cookie 中