如何正确使用ajax函数

Question

我已经在互联网上搜索过，但找不到我要查找的信息。所以，如果这是一个简单的问题或问了数百万次，我很抱歉。

我正在开发一个（可能）有很多 Ajax 功能的网站。现在我想知道 Facebook 是如何做到这一点的，例如“喜欢”按钮。如果我使用 ajax 调用页面 addLike.php?post_id=1，那么访问者（怀有恶意）可以使用此 url 通过向 post_id 添加随机值来操纵我的数据库。

我怎样才能防止这种情况发生？或者最好的方法是什么？

Answer 1

首先也是最重要的一点，对数据条目（存储在数据库、文件等中的内容）进行更改的调用永远不能通过“GET”HTTP 请求进行访问，例如删除论坛中的帖子。也就是说，如果您要向帖子添加点赞，则应该使用 $.post 来执行 ajax 请求（假设您使用的是 jQuery）。

而且，在响应每个请求之前应该完成身份验证和授权。这意味着，如果用户想要向帖子添加点赞，他/她应该已经过身份验证并且还被允许执行特定操作。流行的 Web 框架将帮助您自动实现这一目标（通过配置）。

此外，您还应该通过数据清理来防止 XSS 攻击。你可以谷歌一下了解更多详情。