我们有一个具有很多提交数据形式的应用程序。表单大量使用带有JSON的AJAX,将信息发布到数据库。我担心恶意用户可能试图通过传递JSON结构化数据来调用我们的Ajax接口(interface)的事件。 php脚本不会区分我们自己的服务器调用它还是外部调用。从理论上讲,恶意用户无需访问我们的网站即可在我们的数据库中编写内容。这是一个有效的问题吗?如果是,是否有解决方法?
最佳答案
是的,这是一个有效的担忧。 OWASP具有一些您应该阅读的良好指导原则 here 。
我想强调一点
不应该依赖于客户端逻辑。