我想开发我的登录脚本,如果登录有效或没有给用户反馈。基本上,如果它不正确,div盒会显示错误,如果它正确,它将显示其有效并重定向到成员页面。ajax使用httpRequest登录?
这是安全的将它发送到PHP脚本..检查数据库,然后PHP脚本或者返回一个真或假的值?
这样的事情?
function check_login(username, password)
{
var httpRequest;
make_request()
function stateck()
{
if(httpxml.readyState==4)
{
if (httpxml.responseText.indexOf("true") >= 0)
{
$("#valid_div").show();
$("#invalid_div").hide();
}
else
{
$("#invalid_div").show();
$("#valid_div").hide();
}
}
}
httpxml.onreadystatechange=stateck;
login_url="login/login.php?username=" + username.value + "password=" + password.value;
httpxml.open("GET",login_url,true);
httpxml.send(null);
}
我打算添加一个SSL证书,所以我认为这将是安全的?
感谢
由于这是Ajax,用户无法查看URL,因此在这种情况下使用GET和POST之间没有安全性差异。只有扫描网络流量的人才会看到请求。 – Matijs 2009-11-14 12:29:50
扫描网络流量的人是非常真实的安全问题。 – 2009-11-14 12:31:44
@Martijs,客户端和服务器之间的所有代理服务器都会在其日志中包含GET URL,这是一个安全问题。 **从不**在GET请求中发送用户名和密码。 – 2009-11-14 12:32:52