如何获取当前帖子的 ID 以添加评论
Posted
技术标签:
【中文标题】如何获取当前帖子的 ID 以添加评论【英文标题】:How to Get id of current post to add comments to it 【发布时间】:2017-08-31 19:31:48 【问题描述】:这可能是重复的,但请不要对我投反对票。 我做了一些简单的网络应用,但没有一个需要这种机制,所以有点卡住了。
假设我在主页上显示最近的帖子,并且每个帖子正下方都有一个评论部分,您可以通过 ajax 发布 cmets。那么我如何获得该帖子的 ID,以便我可以在我的插入语句中使用它。我曾想过将这些数据放在隐藏字段中的某个地方,但它可能会被篡改。有什么建议吗?
【问题讨论】:
当然它可以被篡改,但这是你得到它的唯一方法。 嗨。不确定,但这是讽刺吗?或者这真的是唯一的方法 我个人不会担心做一些复杂的混淆,除非它成为一个问题。我认为这是一个投资回报率,如果不做某事会失去很多,那就去做吧。最坏的情况是什么?有人自动化了一堆 cmets,或者您特别担心会发生什么? 我担心的是。假设用户不应该评论他不是朋友的人的帖子。由于 id 是自动递增的,并且他篡改了任何帖子 id,比如 20 到 589(来自他不是朋友的人的帖子),他仍然可以通过简单的篡改来评论他们的帖子.. 哦,这听起来更像是您需要一个系统,其中包括会话和权限检查与篡改问题。 【参考方案1】:如果您有理由担心这一点,您可以发布一个令牌 ID,您可以对照任意有效 ID 列表检查该令牌 ID,然后丢弃具有无效 ID 的请求。
编辑:我的意思是不可能(在合理范围内)篡改令牌 ID 并期望得出一个有效的 ID。
【讨论】:
即使令牌也只能验证帖子存在的事实,并且用户不会对不存在的帖子创建评论。在我对@rasclatt 的回复中查看我的主要问题 回复:您的 OP 评论:在发出请求时添加检查?例如,在将帖子写入数据库之前,检查是否允许用户对帖子发表评论。 Rich(Google 或 Facebook 的)这样做的方式肯定是可能会添加更多的验证查询等。但我对我的服务器有点了解,想知道是否有可能用尽可能少的资源做到这一点...... 这真的很简单。我们都假设您有某种用户身份验证系统,以及一个跟踪当前用户 ID 的会话。在数据库中插入新评论之前,请检查您的规则是否允许当前用户发布该评论。在您的情况下,我想您会检查当前用户是否是帖子所有者的朋友。否则,放弃操作,记录它,或者任何你想要的。 我试图避免进行这些验证。但我想这是保持某些安全性的唯一方法。感谢您的回答.. 真的很有帮助。以上是关于如何获取当前帖子的 ID 以添加评论的主要内容,如果未能解决你的问题,请参考以下文章
如何在不为每个帖子调用评论对象的情况下从墙上的帖子中获取评论计数?