php – 防止隐藏的输入被改变

>仅限服务器端.最简单的方法是使用会话变量(如$_SESSION),以便保留在服务器端的所有数据,但管理它并保持用户可能单独打开的单独选项卡可能会有点棘手.此选项可防止用户查看或编辑信息.
>使客户端携带加密的blob.获取所有“临时但受保护”的数据,以某种方式将其组合(例如JSON),然后使用仅为服务器知道的密钥加密*整个事物. Base64结果并将其放入隐藏字段值. (请注意,对于高安全性的应用程序,您还需要将HMAC用于此过程,该过程验证密文未被修改.)此选项还会阻止用户查看或编辑信息,但可以更轻松地处理一个用户打开多个选项卡的情况.
>仍然使用不那么秘密的隐藏输入字段,但添加了防篡改机制.因此,在生成页面时,获取所有现有的“受保护”变量,将它们以某种方式与服务器端秘密值组合,并将它们哈希[更正：HMAC].将哈希存储在自己的隐藏字段中.然后在用户提交后,重复该过程并检查哈希是否匹配.如果没有,请将安全违规页面的所有内容都包含在内.

*与所有加密技术一样,这样做“正确”的方式可能很棘手,并且很大程度上取决于您如何加密/验证.在密码和密码模式等方面存在很多陷阱.

最后,请记住,阻止人们修改它并不意味着用户无法复制所有内容并在以后或其他帐户下重复使用,除非您采取措施包含“时间戳”等.