Я попытался решить мою проблему, но я даже не знаю, как задать свой вопрос: когда пользователь выполняет одно конкретное событие на моем сайте, я бы хотел вызвать эту функцию, что увеличивает кредит другого пользователя в базе данных mysql:вызов php скрипта из этого только ajax
function incrasecredit(){
$.ajax({
type: "POST",
url: "/increasecredit.php",
data: {},
success: function(html) {
}
});
}
... простой. Проблема состоит в том, что (как указывает имя скрипта), что это событие связано с «кредитной системой»/деньгами. Поэтому я думаю, что это должно быть безопасно. «/increasecredit.php» не должен быть доступен пользователю каким-либо другим способом. Например. просто выполнив его через браузер. Только в этом специальном случае, когда я вызываю его в сценарии jquery. Чтобы быть более точным, когда пользователь нажимает на iframe, должен выполняться incrasecredit(). И ТОЛЬКО в этом случае. Как я могу защитить этот скрипт от неправильного выполнения? Я пытался решить это с помощью токенов, но пока не понял. У меня такое чувство, что я не получаю больше картины. Заранее спасибо.
Вы используете какую-либо форму аутентификации пользователя? Я думаю, что лучший способ сделать это - выполнить проверки в скрипте increasecredit.php, поскольку запросы ajax (как и любой другой вид проверки на соответствие) могут быть просто «подделаны» – flynorc
Да, аутентификация пользователя выполняется сеансом , Но как я могу проверить, есть ли у пользователя разрешение увеличить кредитное значение записи другого пользователя? – tyler
Это ваша собственная система; не должен * вы * знаете? Каковы ограничения для транзакции? В интересах пользователя делать это чаще, чем они должны? –