Question

关于php和ajax的安全性问题，求大神指点。

因为验证码关系，我使用ajax技术，实现message.php网页的部分刷新。验证码保存在session里面。刷新的时候，通过js向一个get_identity.php文件请求数据，get_identity文件echo session。js请求完以后，把验证码显示在message.php网页里。问题出现了。 get_identity.php的地址，任何人都可以请求。这样比较不安全。因为留言板每次post数据就刷新message.php，显得很不友好。后来把留言写入数据库的各种操作，我都想通过这种方式解决。

求大神指点迷津，我应该怎么做。

Answer 1

我想说的是你用了post请求,get_identity.php也是还是任何人都可以请求的,还是没有解决根本问题,
你可以使用$_SERVER['HTTP_REFERER']来判断是否是message.php请求过来的.当然安全是相对的.

追问

$_SERVER['HTTP_REFERER']的存是message.php的地址吗？假如说，我get_identity.php这个地址的代码是
random_identity();//给sesion设置验证码
echo $_SESSION["identity"];输入出验证码。
那我具体要如何判断。

追答

你是不是根据$_SESSION["identity"]用js生成的验证码,
直接echo $_SESSION["identity"]太不安全了,不管是GET和POST都可以抓包看到的,
一般的做法就是PHP动态生成验证码,安全的话一般设置存在SESSION的验证码字符串的过期时间,还有就是验证浏览器请求页和IP

Answer 2

get_identity为什么要echo session么，直接保存session并且返回生成的验证码图片用js显示到页面上不就可以了么。

追问

get_identity echo出来以后，再用js（ajax技术）去请求，然后通过js打印出来，为了实现网页的部分刷新。

追答

你吧你的代码贴出来吧，我看下。