※ 引述《ahoo122002 (承讓)》之銘言：
: 我想請問一個問題
: 就是我a.php 傳資料到 b.php 是用<a href=b.php?id=$id>
: (不是用form method用POST)
: b.php 用GET接收
: (可是很多人改網址，就改變結果，感覺不是很安全)
: 是否有除了POST和GET
: 有其他方式可傳值？？
: 還是可以用硬體來解決這個問題！？
你要確保的是「這個值被看到有沒有問題」
以及「確認他傳的值有沒有問題」
而不是讓瀏覽的人看不到值
舉例來說：
像這種東西很顯然有問題
b.php?username=JONE&passwd=aa123
這就是屬於把不該傳的放到網址上去傳的狀況
另外像這種
b.php?id=3&op=edit
就要確認使用者有沒有編輯id=3的權限之類的
其他像是流覽、刪除的動作，也是同一種狀況
如果 id=3 是小明的照片，他設定為禁止外人瀏覽
那當別人進入這個頁面時，就該擋下來 (有些人寫程式沒檢查，這很糟糕)

是說有點好奇，PHP可以驗證提出要求的來源嗎？例如如果直接連結php，來源應該是外部或使用者方但如果是自己網站的Ajax，來源應該是同網域有辦法對此做出驗證嗎？

$_SERVER['HTTP_REFERER'] 雖然可以偽造

補充發問，如果可以偽造，但是畢竟使用PHP傳入POST值的時候不包含這個資訊，這個變數是PHP自行判定的，那麼執行起來不合預期，看不到php code的情況下應該不曉得是因為這個判定擋掉的吧？還是有方法知道php多判定了這個東西？(應該不可能)，這樣安全性應該是夠的?

你可能不太清楚瀏覽器除了 post 以外還傳了多少東西?

打開瀏覽器的debug工具都看的到，而且都可以改

真的要安全就放session吧，client端來的都完全不可信

痾= =不是不清楚除了Post以外還有多傳東西，是想問因為這個驗證是PHP內的code，在不知道這份code的情況不知道PHP有多驗證什麼東西，應該不曉得需要偽造的目標是什麼？ 是說有經驗的人可能會知道就是了....

他是http protocol規定的 每個人也知道不知道的人可以不用搞attack的事情

CSRF/XSRF 攻防戰啊，掛 token 多少可以提供一點防禦力 :p