各位好，最近小弟在思考这个问题
有些人会用firebug或是chrome的F12去修改元素，若我想避免user这样操作
有什么方法可以参考?
以下是我写的简易html跟php
#html
<form action="1.php" method="POST" id="form">
<select name="opt" id="opt">
<option value="1">1</option>
<option value="2">2</option>
</select>
<input type="submit" name="a" id="a" value="a">
<input type="submit" name="b" id="b" value="b">
</form>
<script type="javascript/text">
$(function(i){
$("#b").hide();
$("#opt").on("change",function(){
var opt = $(this).val();
if (opt==1) {
$("#b").hide();
$("#a").show();
}else{
$("#a").hide();
$("#b").show();
};
});
})
</script>
#1.php
echo $_POST["a"];
echo $_POST["b"];
echo $_POST["opt"];
exit(1);
期望控制php只会印出 a1 或是 b2两种结果
有什么建议的做法吗?

mission impossible

观念: 不要假设 GET/POST 变量会如何, 就算这些变量是在网页里写死的也是一样; 即使不用这种修改工具也是能做出不符合你默认条件的输入

的确是如此@@

输入是一定要验证的 要符合你想要的内容标准网页显示的 或者用前端来限制输入只是让使用者不会错误输入不符的内容

原po帅哥 还是乖乖用ajax+token吧

写网页程式的铁则--不要相信任何 user 传来的资料。不要去期望 user 传来的资料都会符合你的预期。比较正确的作法应该是自己作个 filter 去筛选资料只要收到的资料不是 a1,b2 那就返回错误。

不要相信前端传进来的资料

ㄏㄏ还有助教跟我说我这是在攻击服务器

可以算是啊 HTML injection (?)

就算都是自己写的，也要假设有人使用非法UI所有跟预想值不符的范围都要筛掉，不能吃或引起crash

就算你封掉了这两个工具，可还有其他的，所以别相信任何来自客户端的内容