Вопрос по безопасности передачи переменных.
На сайте есть каталог, куда пользователи добавляют свои сайты и описание.
В mysql есть таблица с полями
id, name_site, url, email, id_user
Например, пользователь добавил в каталог свой сайт.
Затем хочет изменить в описании email.
на страничке в input вводит новый email. С этой страничке текст с инпута передается через функцию jquery .ajax (POST) на php скрипт (file.php) в котором функция
UPDATE table SET email = email WHERE id = id_site
обновляет запись в таблице.
Вопрос в том как передать переменную id_site ? Если вставить в скрытый input, то ее можно легко подменить, тоже самое если засунуть ее значении в id какого нибудь тега.
т.е. при отображении кода вида
$.ajax({
type: "POST",
url: "/file.php",
data: {id_site = xxx, email = value_input},
cache: false,
error:function(){
alert("error");
},
success: function(data) { ....
можно прямо в браузере изменить id_site и email измениться у другой записи в таблице. (Отредактировано автором: 10 Апреля, 2013 - 13:03:14)
|