Проблемы с редактированием веб-страницы на стороне клиента?

Question

Это в основном для радио кнопок, но; что произойдет, если вы отредактируете необработанный HTML-код веб-страницы в браузере и измените значение переключателя? Если вы решили отправить эту информацию через форму с использованием php, будет ли отправлено измененное значение переключателя, или он просто получит свои исходные значения? Я бы проверил эту гипотезу, но Apache не будет установлен должным образом.

Answer 1

Значение, которое отправляет HTML-страница, - это то, что получает сервер.Вот почему вам нужно проверять данные на стороне сервера, прежде чем полагаться на него.Вы должны предположить, что каждый пользователь является злонамеренным хакером.

$acceptable_values = array('0', '1', '2');
if(in_array($_POST['radio'], $acceptable_values)) {
    //Radio button value is valid
} else {
    //Radio button is not valid
    die('Nice Try!');
}

Или вы можете установить для переключателя значение по умолчанию, если оно не содержит допустимого значения ...

$acceptable_values = array('0', '1', '2');
if(in_array($_POST['radio'], $acceptable_values)) {
    $radio = $_POST['radio'];
} else {
    $radio = '0'; //Default
}

Важно отметить, что с изобретением таких инструментов, как Firebug (gecko) и Inspector (webkit), вам не нужно загружать, изменять и просматривать HTML-страницу.Вы можете редактировать его в реальном времени в браузере.

Answer 2

Любой человек может опубликовать что угодно на любом сайте.Это самая большая проблема безопасности в сети.И именно поэтому вы должны сомневаться, проверять и дезинфицировать любые введенные пользователем данные.Начиная с PHP 5.2, если я правильно помню, у вас есть функция filter_var($var_to_be_filter, FILTER_TO_BE_APPLIED);

С этим вы можете избежать 2 проблем безопасности SQL Injection и XSS (Cross Site Scripting).К сожалению, существует больше рисков безопасности, которые вы должны учитывать;CSRF, Cookie Hijacking, External File Access, Remote File Inclusion, Session Fixation, Directoy traversal и т. Д.

Answer 3

Вы можете отправлять любую информацию из вашего браузера, у вас есть полный контроль. Так что да, вы можете отправлять что угодно из любой формы - вот почему проверки работоспособности на стороне клиента бесполезны.

Попробуйте tamperdata (плагин Firefox), чтобы просматривать и редактировать любые сообщения POST, которые делает ваш браузер. Или вы можете (как вы говорите) использовать firebug (другой плагин Firefox), чтобы редактировать код любого сайта и просматривать его в своем браузере.