个人中心
gpt4 book ai didi

php - 编辑评论 - javascript、php 协同工作

转载 作者:行者123 更新时间:2023-11-30 23:41:29 25 4
gpt4 key购买 nike

大家好,我面临一个相当严重的安全错误。让我首先概述我的代码。

<li class="comment">
    <form action="" method="POST" name="edit-form" class="edit-area">
        <textarea style="width: 100%; height: 150px;"><?php echo $response->comment; ?></textarea>
    </form>

    <div class="comment-area" style="padding-top: 2px"><?php echo (parseResponse($response->comment)); ?></div>

        <p class="ranking">
            <?php if ($response->user_id == $user_id) : ?>
                    <a href="" class="editting" data-user="<?php echo md5(convert($response->user_id)); ?>" data-edit="<?php echo $response->short; ?>">Edit</a> &bull; <a href="#d">Delete</a> 
            <?php else : ?>
                <a href="#">Like (<?php echo $response->likes; ?>)</a> &bull; <a href="#">Dislike (<?php echo $response->dislikes; ?>)</a>
            <?php endif; ?>
        </p>                                        
</li>

是我体内得到的,这里是相关的JS

$('.editting').bind('click', function(event) {
            var num = $(this).data('edit');
            var user = $(this).data('user');

            if ($(this).hasClass('done')) {

                var newComment = $('#comment-' + num + ' .edit-area textarea').val();
                var dataString = 'newComment='+ newComment + '&num=' + num;

                if(newComment == '')
                {
                    alert('Comment Cannot Be Empty!');
                }
                else
                {
                    $.ajax({
                        type: "POST",
                        url: "edit.php",
                        data: dataString,
                        success: function(){}
                    });

                    $('#comment-' + num + ' .edit-area').slideDown('slow', function() {
                    $('#comment-' + num + ' .edit-area').addClass('invisible');
                    });     
                    $('#comment-' + num + ' .comment-area').slideUp('slow', function() {
                        $('#comment-' + num + ' .comment-area').removeClass('invisible');
                    });
                    $(this).removeClass('done');
                    $(this).html('Edit');
                }



            }

            else {                  
                $('#comment-' + num + ' .comment-area').slideDown('slow', function() {
                    $('#comment-' + num + ' .comment-area').addClass('invisible');
                });

                $('#comment-' + num + ' .edit-area').slideUp('slow', function() {
                    $('#comment-' + num + ' .edit-area').removeClass('invisible');
                });

                $(this).html('Done');
                $(this).addClass('done');


            }

            return false;


        });

工作正常,但我遇到了问题。如果用户找到评论(不是他们自己的)并使用像 firebug 这样的插件,他们可以用另一个替换响应->短,并编辑任何评论。当然,在 edit.php 中,我可以根据响应表检查短路并查看用户是否 checkout ,但我想找到一种不显示文本区域的方法,除非该用户确定该响应.

这可能吗?

提前致谢,会

最佳答案

Is this possible?

当然...但它不会阻止用户/修复您的安全漏洞。要解决此问题,请检查服务器端始终仔细检查服务器端应安全的任何内容,永远不要相信您的输入。用户尝试恶意行为不会被 JavaScript 中的任何内容阻止...将他们不应该做的数据发送到您的服务器正是他们会做的事情首先。

关于php - 编辑评论 - javascript、php 协同工作,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4482316/

25 4 0
文章推荐: javascript - 在 jQuery $.each 循环中暂停 JSON 项的执行
文章推荐: python - 获取 ManyToManyField 中引用对象的次数
文章推荐: python - 将参数作为 HTML 属性传递
文章推荐: python - 使用 GAE/Django 在 Test Shop 上安装自定义应用程序
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com