防止用户篡改html

Question

目前我有它，当用户回复一个线程时；我使用$id = $_GET['id']并将变量传递给回复表单中隐藏的只读输入。

我使用的另一种方法是数据属性，我使用jQuery检索该属性，然后使用ajax提交表单。可以在firebug中更改数据属性。

什么是防止篡改html隐藏字段/数据属性的好方法？

我想过在用户打开多个窗口的情况下使用sessions..For示例: page1.php?id=1、page2.php?id=2、page3.php?id=3，我该如何存储和检索会话？在多个窗口打开的情况下，我不能有一个明确的会话名称。

Answer 1

显然，您无法阻止用户更改HTML客户端(您可以使其变得困难，但并非不可能)。如果你担心人们回复他们没有回复权限的帖子，你应该处理服务器端(在发帖之前检查权限)。这样，用户可以随意更改ID，但他们仍然只能回复允许他们回复的帖子。

另一种选择是在查询字符串中使用加密的id，但在这种情况下，我仍然会在服务器端检查权限。