php – Ajax Security(我希望)

我正在构建一个浏览器游戏,我正在使用大量的ajax而不是页面刷新.我正在使用php和 javascript.经过大量的工作,我注意到ajax并不完全安全.我担心的威胁是说有人想在我的SQL服务器上查找某些信息,他们只需要将正确的信息输入到与我的ajax调用关联的.php文件中.我正在使用GET样式的ajax调用,这是个坏主意.无论如何经过大量的研究后,我有以下安全措施.我切换到POST(这不是更安全,但它是一个小问题).我也有一个提到的地方,它也可以伪造,但又是另一种威慑力.

最后的措施我已经到位并且是这个问题的焦点,当我的网站被加载时,我生成并保存在会话中的80字符六角密钥,当我发送ajax调用时,我也发送了挑战密钥的形式

challenge= <?php $_SESSION["challenge"]; ?>

现在,当ajax php文件读取此信息时,它会检查发送的质询是否与会话质询相匹配.现在这本身不会做太多,因为你可以简单地打开萤火虫,看看容易发送什么挑战.所以我所做的就是一旦使用了挑战,它就会在会话中生成一个新挑战.

所以我的问题是这是多么安全,从我站在它看起来只能看到挑战键发送后然后它更新,他们再也看不到它,直到它被发送,使得不可能发送伪造来自其他来源的请求.所以有人看到这个安全方法的任何循环漏洞或有任何额外的想法或想法.