Получает ли echo'd имя пользователя, используя Javascript с отображением none CSS, плохо для безопасности?

Question

У меня есть страница PHP, доступ к которой могут получить только зарегистрированные пользователи. Каждая страница уникальна для этого конкретного пользователя и используется для отслеживания коллекции.

Через PHP У меня есть эхо-запрос username и user id, а затем завернутый в display:none div.

Затем у меня есть пара вызовов ajax, которые пропускают username и user id, когда они выполняют определенные c задачи (обновление коллекции, добавление, удаление и т. Д. c и * 1024). *). Это передается в файл PHP, в котором используются подготовленные операторы.

Я делаю это, поскольку не могу найти другой способ получить username и user id в Javascript.

Поскольку доступ к каждой странице имеет только этот конкретный пользователь, я думаю, что это безопасно, поскольку вы не можете получить доступ к имени пользователя или ID другого пользователя. Однако я не могу не чувствовать, что это очень плохая практика. Я полностью открыт для предложений по этому вопросу!

РЕДАКТИРОВАТЬ: я должен также указать, что я использую WordPress для аутентификации.

Answer 1

Одна вещь, о которой стоит подумать, - убедиться, что вы дезинфицируете значения, когда читаете их. Например, что произойдет, если кто-то вручную установит имя пользователя в этом div для DROP ALL TABLES; - атака с sql инъекцией. Кроме того, почему бы не использовать ее как переменную JS, отражая ее в сценарии, а не в скрытом div? В противном случае это выглядит нормально, ведь большинство веб-приложений сериализуют данные в шаблон html для чтения сценариями.