Мне нужно повторно отправить значение из предыдущей html-формы в другой форме, чтобы его можно было использовать как часть подготовленного оператора SQL.
Однако я не очень хочу использовать скрытый ввод html из-за потенциальных проблем с безопасностью.
Кто-нибудь знает другой метод?
Спасибо.
Временно сохраните значения в сеансе.
Однако скрытые входные данные HTML не должны вызывать проблем с безопасностью, если вы должным образом проверяете их (снова) перед помещением в базу данных.
Вы можете сохранить его в сеансе, тогда пользователь никогда не см. значение.
Я не думаю, что вы создаете больше рисков для безопасности, чем отправка исходной формы.
Однако у вас есть другие варианты, если вы не хотите использовать скрытый элемент формы:
Сохранение значения в переменной $_GET (не рекомендуется, виден в адресной строке)
Использование файла cookie для хранения переменной (пользователь может отключить файлы cookie)
Использование сессий для хранения переменной на стороне сервера
<input type="hidden" name="frompreviousform" value="$value" /> ничто не мешает кому-то сохранить html-страницу и отредактировать ее или использовать какую-то инъекцию javascript.
- person Daniel West; 23.02.2011
$value, так как он может содержать мошеннический код, который будет внедрен на вашу HTML-страницу.
- person Tim Cooper; 23.02.2011
