1
私は私の問題をGoogleにしようとしましたが、私の質問に正確には分かりません。ユーザーが自分のサイトで特定のイベントを実行すると、 mysqlデータベース内の他のユーザーのクレジット:このajaxからphpスクリプトを呼び出す
function incrasecredit(){
$.ajax({
type: "POST",
url: "/increasecredit.php",
data: {},
success: function(html) {
}
});
}
...簡単です。問題は(このスクリプト名が示すように)このイベントが "クレジットシステム"/moneyに接続されていることです。だから私はそれが安全でなければならないと思う。 "/increasecredit.php"には他の方法でアクセスしないでください。例えば。単にブラウザ経由で実行するだけです。この特別なケースでのみ、私はjqueryのスクリプトでそれを呼び出す。より正確には、ユーザーがiframeをクリックしたときにincrasecredit()を実行する必要があります。そして、この場合のみ。このスクリプトを間違った方法で実行しないようにするにはどうすればよいですか?私はトークンでそれを解決しようとしましたが、まだそれを把握していませんでした。私はもっと大きな写真を撮っていないと感じています。前もって感謝します。
あなたは何らかのユーザー認証を使用していますか? これを行うより良い方法は、ajaxリクエスト(他のフロントエンド検証と同様)が単に「なりすまし」になる可能性があるため、increasecredit.phpスクリプトのチェックを行うことです。 – flynorc
はい、ユーザー認証はセッション単位で行われます。しかし、ユーザーが他のユーザーのエントリのクレジット値を引き上げる権限を持っているかどうかを確認するにはどうすればよいですか? – tyler
あなた自身のシステムです。あなたは知ってはいけませんか?トランザクションの制約は何ですか?彼らが想定しているよりも頻繁にこれを行うのはユーザーの関心事ですか? –