Kesinlikle her istek üzerine izinleri kontrol etmelisiniz. Siz güvenlik için sadece veri girişi güvenmemelisiniz!

Ve bunu şifresini eğer hatırlıyorum, yani sitenize kesmek isteyen kötü niyetli bir kullanıcı olabilir.

Mağaza izinleri bir oturum kullanarak performans lehine teminat kapalı bir ticaret ve ben bunu yapmak için ortalama güvenlik olacağını düşünüyorum.

Ama yine de - hassas veri varsa - her istek üzerine her zaman kontrol edin. Daha az güvenlik adına birkaç mikrosaniye için optimize etmeyin.

Ben bir yorum gerçek sorunu gördüm şimdi, ben kullanıcı yapar yenilemek her ek karma çeşit kullanarak önermek ve kullanıcı oturumunda kaydedebilirsiniz. Kullanıcı örneğin aynı karma kullanıyorsa sonra kontrol edin:

$hash = md5(microtime());
$_SESSION['secret_user_hash'] = $hash;

Ve gibi URL'ler koydu:

&z=<?php echo substr($hash, 5, 10); ?>

Aynı hash Ve eğer bir kullanıcı yapar, sonra istek sadece kontrol.

Eğer ağır AJAX kullanarak eğer oturumda değişiklik olduğunda her zaman, senin karma güncellemeniz gerektiğini unutmayın. I düşünebilirsiniz en iyi yolu (5) rastgele Hashesh oturumunda bir dizi tutmak ve sorgu için rasgele bunları kullanıyoruz. Yani büyük bir havuz var ve her istekten sonra güncellemek zorunda değilsiniz.

Neden sadece kimlikleri base64encode/decode değil? Sadece onlar aslında zaten oynamak için izniniz yok oyuncaklar ile deneme meşru kullanıcıların önlemek için bu yapıyorsanız, onları vazgeçirmek için özellikle fantezi bir şey yapmanın hiçbir amaç gerçekten var.

Lütfen UID bir karma yapmak ve yoluyla bu geçmektedir.

Eğer rot13 / base64 kodlamak o zaman, tüm şema ve kod temeli refactor istemiyorum sürece.