22-05-1397، 11:13 ق.ظ
22-05-1397، 11:14 ب.ظ
هیچ وقت پیام خطای رو داخل گت ننویسید
می تونید مثلا از عدد استفاده کنید مثلا بهش شرط بدید اگر مقدار گت یک بود این خطا رو بده و اگر این مقدار بود این خطا رو بده
در غیر اینصورت راهی نیست که بشه از گت دستی جلو گیری کرد و باید از پوست استفاده کنید و پوست دقیقا برای این کارا ساخته شده دیگه
برای مسائل حساس
می تونید مثلا از عدد استفاده کنید مثلا بهش شرط بدید اگر مقدار گت یک بود این خطا رو بده و اگر این مقدار بود این خطا رو بده
در غیر اینصورت راهی نیست که بشه از گت دستی جلو گیری کرد و باید از پوست استفاده کنید و پوست دقیقا برای این کارا ساخته شده دیگه
برای مسائل حساس
26-05-1397، 07:31 ب.ظ
چنین چیزی غیر ممکنه!
نه فقط برای GET
بلکه برای تمامی متد های HTTP شامل (POST, GET, PUT, DELETE, OPTION).
اما همونطور که @sirwan اشاره کرد GET راحت تر قابل تغییره (نوار آدرس مرورگر) و برای مسائل امنیتی به هیچ وجه نباید ازش استفاده بشه
به هر حال مقدار باید از سمت کاربر به سمت سرور بیاد، در نتیجه میتونه هر مقداری میتونه وارد کنه.
برای همین هست که نباید به هیچ وجه به داده های ارسالی از سمت کاربر اعتماد کنید و اون ها رو اعتبار سنجی کنید.
نه فقط برای GET
بلکه برای تمامی متد های HTTP شامل (POST, GET, PUT, DELETE, OPTION).
اما همونطور که @sirwan اشاره کرد GET راحت تر قابل تغییره (نوار آدرس مرورگر) و برای مسائل امنیتی به هیچ وجه نباید ازش استفاده بشه
به هر حال مقدار باید از سمت کاربر به سمت سرور بیاد، در نتیجه میتونه هر مقداری میتونه وارد کنه.
برای همین هست که نباید به هیچ وجه به داده های ارسالی از سمت کاربر اعتماد کنید و اون ها رو اعتبار سنجی کنید.