网站function受到干扰或黑客攻击

我的网站上有一个用户消息系统。 我有一个 data-id对应于users表中的user_ id列。 现在我使用ajax jquery和php向用户发送消息。 通过jquery，我获得了点击.msg按钮的data-id ，并使用php将msg发送给该用户。

现在我的问题是我限制某些人向其他人发送消息。 但是那些可以通过在开发者模式中更改data-id来轻松地非法发送这些消息。我可以阻止这种情况吗？

您始终可以使用发送到前端的一些服务器端生成的哈希值来确保发送回服务器的用户ID是最初打开该页面的用户ID。 甚至不需要为此调用数据库。

在哪里使用salt / secret和data-id计算哈希值。 提交后，您只需检查提供的哈希是否与新计算的相同。

所以在PHP中你可以做类似的事情：

 $userId = 1; $secret = 'yourVeryPersonalSecretSentence'; $hash = sha1($secret . $userId); // would create something like "d0be2dc421be4fcd0172e5afceea3970e2f3d940" 

你的HTML中你会有：

在ajax电话中，你只需仔细检查：

 $userId = $idValueFromForm; $secret = 'yourVeryPersonalSecretSentence'; $hash = $hashFromForm; $newHash = sha1($secret . $userId); if ($newHash === $hash) { // the userid was the same as sent to the browser ... } 

希望这可以帮助。