为什么使用 POST 进行更新比超链接更安全

在 PHP 中更新记录时，选择使用 执行操作（通常通过表单和 HTTP 方法，如 POST 或 PUT）还是 超链接（通常使用 GET 方法）归结为 安全性 和最佳实践。这就是为什么执行操作是首选：

---

安全

• GET（超链接）： 由链接触发的操作通常使用 GET HTTP 方法，该方法旨在检索信息，而不是修改信息。当用于更新或删除时，敏感数据（例如记录 ID）可能会在 URL 中暴露，使其容易受到 URL 操纵或 CSRF（跨站点请求伪造）等攻击。

有问题的示例：

<a href="update.php?id=123">Update</a>

任何人都可以操纵 URL 中的 id 来篡改未经授权的记录。

• POST（执行操作）： 更新应使用带有 POST 方法的表单，其中数据在请求正文而不是 URL 中发送。这种方法隐藏了敏感信息，并使未经授权的操作变得更加困难，特别是与 CSRF 令牌等其他安全措施结合使用时。

推荐示例：

Update

---

遵守 HTTP 约定

HTTP 协议对每个方法都有明确的意图：

• GET: 检索信息（幂等且无副作用）。
• POST/PUT：提交或更新信息（非幂等且有副作用）。

使用 GET 进行更新或删除等操作违反了这些约定，并且可能会混淆缓存或代理等中介机构，这些中介机构可能会将 GET 请求视为安全且无副作用。

---

防止意外行为

• 超链接可能会无意中触发（例如，意外点击或机器人跟踪链接）。
• 使用 POST 的表单，尤其是添加了确认步骤，可以降低意外执行的可能性。

---

与高级安全性和验证的兼容性

使用表单可以无缝集成其他安全措施，例如：

1. CSRF 令牌： 防止恶意跨域请求。
2. 输入验证：提交表单之前验证记录 ID。
3. 权限控制：在呈现表单之前验证用户访问权限。

---

使用执行操作（通过带有 POST 或 PUT 的表单）来更新记录是推荐的方法。这可确保更好的安全性、符合 HTTP 约定并降低意外操作的风险。超链接应保留用于不会改变系统状态的导航或只读操作。

以上是为什么使用 POST 进行更新比超链接更安全的详细内容。更多信息请关注PHP中文网其他相关文章！