我正在使用此代码检查答案是否正确:

<?php
$con=mysqli_connect("localhost","root","","teachme");
//check connection
if (mysqli_connect_errno()) {
    echo 'Failed to connect to MySQL: ' . mysqli_connect_error();
}

$query = "SELECT question, answer, explanation FROM grade8u1 WHERE id BETWEEN 1 AND 10 ORDER BY RAND()";
$result = mysqli_query($con, $query);
$row = mysqli_fetch_row($result);
echo ("<b>Question</b>: $row[0]<br>");
echo ("<b>Answer</b>: $row[1]<br>");
echo ("<b>Explanation</b>:<br> $row[2]<br>");

if (isset($_POST['answer'])) {
    $answer = $_POST['realanswer'];
    if ($_POST['answer'] == $answer) {
        echo "<br>";
        echo "Last answer was correct";
    }
    else {
        echo "<br>";
        echo "Last answer was incorrect";
    }
}
?>
<form action="random.php" method="post">
    <input type="hidden" name="realanswer" value="<?php echo $row[1]; ?>">
    Answer: <input type="text" name="answer">
    <input type="submit" value="Submit">
</form>

有一个问题,因为任何人都可以检查或编辑隐藏字段的值。我尝试了其他方法,比如使用会话,但是每次用户按提交时,它们都会被替换。
谢谢,汤姆。

最佳答案

你有两个选择。
使用加密。(机密)服务器端密钥意味着您可以将隐藏的输入设置为只能由服务器解密的加密字符串。
使用会话(为了安全性更好,尽管挑剔者会指出一些超级奇怪的人和浏览器不支持会话)。
如果之前的会话对您不起作用,则说明您没有正确使用它们!(可能是一个被遗忘的电话;通常是这样的)
另外,如果这是一个验证码或类似的,那么不要使用选项(1);黑客可以多次重复使用相同的隐藏答案/真实答案组合。您可以通过添加和检查时间戳或使值一次性使用来减少问题,但是使用会话会容易得多。

关于php - 保护隐藏字段,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/15800475/

10-16 14:50