如何获取当前帖子的 ID 以添加评论

Posted 2023-02-24

【中文标题】如何获取当前帖子的 ID 以添加评论

【英文标题】：How to Get id of current post to add comments to it

【发布时间】：2017-08-31 19:31:48

【问题描述】：

这可能是重复的，但请不要对我投反对票。 我做了一些简单的网络应用，但没有一个需要这种机制，所以有点卡住了。

假设我在主页上显示最近的帖子，并且每个帖子正下方都有一个评论部分，您可以通过 ajax 发布 cmets。那么我如何获得该帖子的 ID，以便我可以在我的插入语句中使用它。我曾想过将这些数据放在隐藏字段中的某个地方，但它可能会被篡改。有什么建议吗？

【问题讨论】：

当然它可以被篡改，但这是你得到它的唯一方法。

嗨。不确定，但这是讽刺吗？或者这真的是唯一的方法

我个人不会担心做一些复杂的混淆，除非它成为一个问题。我认为这是一个投资回报率，如果不做某事会失去很多，那就去做吧。最坏的情况是什么？有人自动化了一堆 cmets，或者您特别担心会发生什么？

我担心的是。假设用户不应该评论他不是朋友的人的帖子。由于 id 是自动递增的，并且他篡改了任何帖子 id，比如 20 到 589（来自他不是朋友的人的帖子），他仍然可以通过简单的篡改来评论他们的帖子..

哦，这听起来更像是您需要一个系统，其中包括会话和权限检查与篡改问题。

【参考方案1】：

如果您有理由担心这一点，您可以发布一个令牌 ID，您可以对照任意有效 ID 列表检查该令牌 ID，然后丢弃具有无效 ID 的请求。

编辑：我的意思是不可能（在合理范围内）篡改令牌 ID 并期望得出一个有效的 ID。

【讨论】：

即使令牌也只能验证帖子存在的事实，并且用户不会对不存在的帖子创建评论。在我对@rasclatt 的回复中查看我的主要问题

回复：您的 OP 评论：在发出请求时添加检查？例如，在将帖子写入数据库之前，检查是否允许用户对帖子发表评论。

Rich（Google 或 Facebook 的）这样做的方式肯定是可能会添加更多的验证查询等。但我对我的服务器有点了解，想知道是否有可能用尽可能少的资源做到这一点......

这真的很简单。我们都假设您有某种用户身份验证系统，以及一个跟踪当前用户 ID 的会话。在数据库中插入新评论之前，请检查您的规则是否允许当前用户发布该评论。在您的情况下，我想您会检查当前用户是否是帖子所有者的朋友。否则，放弃操作，记录它，或者任何你想要的。

我试图避免进行这些验证。但我想这是保持某些安全性的唯一方法。感谢您的回答.. 真的很有帮助。