نوشته شده توسط
amirhossein.sh
من برای هر کدوم از فرم های سایتم یه آرایه ای میسازم و داخل اون خصوصیات فیلد هارو مشخص میکنم و میگم مثلا فیلد نام خانوادگی باید 20 کاراکتر از نوع string باشه . وقتی فرم ارسال شد میرم تو کلاس کنترلر و اونجا کارای بررسی صحت داده های ارسالی از طرف کاربرو انجام میدم و اخر سر خطا هارو بر میگردونم ، اما این جا یه حفره امنیتی خیلی بزرگی وجود داره اونم اینه که این پیکربندی(همون آرایه ای که تنظیمات فیلد ها داخلشه) داخل خود فرم به صورت hidden قرار گرفته و کاربر اگه یکم زرنگ باشه میاد محتویات صفحه رو دستکاری میکنه و مثلا اونجا که من گفتم نام خانوادگی از نوع string باشه میکنتش int و کلا حساب کتاب مارو به هم میریزه ، مشکل اینه که من میخوام یه چیزیو با متد پست انتقال بدم اما نمیخوام کاربر بهش دسترسی داشته باشه
در مورد curl هم تا حالا هیچ مطالعه ای نداشتم لطفا بگو چجوری میتونه مشکلمو حل کنه ؟
پاسخ با نقل قول