我认为不是一个好主意,把'user_id'在客户端HTML并发送回服务器。您需要对客户端发送的数据进行更多验证(做一些检查和过滤)。
我推荐使用的,而不是将其发送到客户端的会话,但如果在同一时间(多片)编辑两个或更多的数据,你将有问题的,所以你需要使用会话和一些技巧。
有了这个例子你真正user_id
绝不会发送给客户端。
的index.php:
session_start();
$edit_session_id = md5(uniqid() . microtime(true));
$_SESSION['edit_' . $edit_session_id] = $user_id;
ajax.js:
var edit_session_id = $('#edit_session_id').val();
$.ajax({
url : "process.php",
method : "POST",
data : {'edit_session_id' : edit_session_id},
cache : false,
success : function(data) {
// do code
}
);
process.php:
session_start();
$edit_session_id = $_POST['edit_session_id'];
if(!isset($_SESSION['edit_' . $edit_session_id]))
{
die('Invalid edit session, please go back & refresh');
}
$user_id = $_SESSION['edit_' . $edit_session_id];
// Do something with user_id
//Clear the editing session
unset($_SESSION['edit_' . $edit_session_id]);
使用TLS(https)。 – Pointy 2013-04-30 14:10:09
想要完全提高安全性的哪个方面 - 针对谁的安全性?用户?第三方? – 2013-04-30 14:10:26
这个网站是[充满信息](http://stackoverflow.com/search?q=secure+ajax)关于创建安全的AJAX交易。你有没有涉及的具体问题? – 2013-04-30 14:12:36