以安全的方式提交表单变量答案

【问题标题】：Submit a form variable in a secure way以安全的方式提交表单变量
【发布时间】：2014-09-11 14:03:05
【问题描述】：

我有一个包含一些表格的页面。每个表单都对特定产品执行操作（即删除产品）。提交表单时，我需要知道必须删除哪些产品，因此我在包含产品 ID 的表单中包含了一个隐藏输入。

<form method="post" action="delete.php">
  <input type="hidden" name="id" value="1" />
  Product one <input type="submit" name="delete" value="Delete" />
</form>

<form method="post" action="delete.php">
  <input type="hidden" name="id" value="2" />
  Product two <input type="submit" name="delete" value="Delete" />
</form>

不幸的是，id 的值可以通过浏览器检查器进行更改。

是否有一种安全的方法可以在表单中提交变量？我找到了this post，但就我而言，我有多个 id，所以在提交之前我无法知道提交的值。

【问题讨论】：

确保这一点的方法是在删除脚本收到 ID 时重新验证 ID，方法是应用导致它首先作为删除选项提供的相同逻辑。
In .NET, how do I prevent, or handle, tampering with form data of disabled fields before submission?的可能重复
@AlexK。所以你的意思是，例如，检查 id=2 是否对应于“产品二”标签或类似的东西？

标签： html forms security post

【解决方案1】：

我认为不可能，您只需在提交过程后在后端验证提交的$_POST['id']是否有效/可删除，如果有效，则继续删除process ，如果没有，请返回并发布警告/通知，说“无效”、“无法删除项目”或“为什么你在搞乱我的代码？”

【讨论】：

啊哈哈哈！ +1 表示“你为什么要搞乱我的代码？”