我想知道我的应用程序的安全性。我只是使用树枝循环来显示我在数据库中的所有记录。当我制作单独的站点以显示详细信息并且有按钮可以显示时,一切都很好。删除这个东西。它通常发生在 DELETE 方法中,有人只能显示自己的详细信息。但我希望有按钮来删除基本视图中的特定记录,其中显示每条记录,例如项目标题旁边。
我无法通过 CreateFormBuilder 执行此操作,因为我无法从表单发送项目的当前 ID(或者我只是不知道该怎么做)。但它安全吗?大家可以修改按钮的id参数,删除其他记录。
我可以使用 AJAX 并简单地在树枝上按按钮,但情况相同。每个人都可以改变,例如按钮中的data-id参数并删除其他记录。
在这种情况下我应该怎么做?您通常如何解决这个问题?
总结一下,我想制作一个安全按钮来删除每个显示记录旁边的项目。
祝你有美好的一天!
【问题讨论】:
标签: php ajax symfony security button
保护 AJAX 路由的方法之一是使用 JWT (json-Web-Token)(参见:https://jwt.io/)而不是随机字符串令牌。此令牌使用用户信息加密,以确保允许单击按钮的人执行某些操作(并且令牌与请求标头中的请求一起发送)。
无论如何,您必须发送一些东西来识别您想要在数据库中删除或修改的元素的 id。我会亲自实现这个 JWT 系统,但是对您可以查看和单击这些按钮的页面的访问也必须受到保护。这样,您可以假设用户没有恶意。
Theis bundle (https://github.com/lexik/LexikJWTAuthenticationBundle/blob/master/Resources/doc/index.md#getting-started) 可以帮助您非常轻松地在 symfony 上实现这个(我是这个框架的新手,我在几个小时内就完成了 - 只是一件事:如果您使用 Apache,请不要忘记允许在您的 Apache 配置中覆盖以允许 symfony 的 .htaccess 完成他的工作,或者标题将被 Apache 剥离 - 这让我需要几个小时才能找到为什么事情不起作用!)。
希望这会有所帮助!
【讨论】: