ajax安全性与根目录安全中的php包含

Question

在我看来，ajax很擅长在不单击链接或发送表单的情况下执行请求。然而，我担心的是它的安全问题，或者只是想太多了。在ajax中，每个人都可以查看javascript，并且可以通过web访问php。用户是否可以直接调用php脚本，绕过htaccess限制等等。

对于我来说，有三种选择(任何关于新选择的建议都会被认可)来实现我的目标。

选项A:页面->单击按钮并在页面上调用ajax ->显示

选项B:页面->在根目录中包括php文件，->单击按钮显示隐藏的div( 10 mysql行以下) ->显示在页面上

选项C:页面A ->单击按钮重定向到页面B ->包含php文件在根目录->显示多个页面的结果(每页10+)

选项A会对我很好，但它似乎不那么安全。当与mysql表中的覆盖值决斗时，答案是否相同(需要关注更多的安全问题)？

我现在使用选项C，并使用Ajax来接受请求，根据第B页显示的结果拒绝请求。不过，我想知道ajax的安全性问题，看看ajax的client+server端脚本支持何时会击败Ajax的安全性问题。Web结构需要根据安全问题进行调整和改进。

Answer 1

没有什么可以阻止某人查看您的JavaScript代码，获取AJAX调用的URL。

但是，如果安全性是一个很大的问题，那么查看会话变量和存储值的方法。这里有文件、数据库和cookie。您不希望php将会话变量存储在cookie中，因为访问者可以访问这些变量(它们像普通cookie一样存储)。

在发出AJAX请求时设置会话值，然后检查会话值是否也被设置。如果按照正常情况继续进行。如果不是(会话可能已经超时)，那么什么也不做。

Answer 2

在ajax中，每个人都可以查看javascript，并且可以通过web访问php。用户是否可以直接调用php脚本，

是的，它只是一个HTTP请求

绕过htaccess限制等等。

如果您对Ajax请求中的URL设置了与您想要保护的其他页面相同的限制，则不是这样。