Мало что можно сделать, чтобы остановить это, единственная мысль, которая может помочь предотвратить это, - наличие хорошей архитектуры приложения.
Например, помогут следующие правила:
- Старайтесь, чтобы Ajax оставался доступным только для чтения.
- Если вам нужно использовать Ajax для записи, вы должны следовать этим правилам
- Разрешать отправлять данные могут только пользователи, вошедшие в систему.
- Подтвердите Подтвердите и проверьте ваши данные публикации, убедитесь, что они точно соответствуют вашим ожиданиям
- Реализуйте метод хеширования формы, который генерирует уникальный хеш для каждой формы на каждой странице, и проверяйте по переменнойв рамках сеанса Aka ( Nonce )
- Если пользователь вошел в систему, убедитесь, что существует период проверки, например, «Вы должны подождать 30 секунд перед публикацией».
- Всегда используйте
session_regenerate_id() перед тем, как позвонить session_start
Это всего лишь несколько указателей, которые должны помочь вам в пути, при исследовании которых вы столкнетесь с другимиЭто методы, используемые другими владельцами сайтов, но вы всегда должны помнить следующие 2 правила:
- Никогда не доверяйте своим пользователям, просто ведите себя так, как будто вы делаете
- Белый список и никогда не черный список.