本文介绍如何利用 php 会话(`$_session`)与 ajax 结合,实现点赞/点踩等交互操作的无刷新更新,确保用户身份不被前端篡改,兼顾安全性与用户体验。
在构建如“点赞/点踩”这类需用户身份鉴权的交互功能时,一个常见误区是将 $_SESSION['user_id'] 直接暴露在 HTML 或 JavaScript 中(例如写入 data-user-id 属性),再通过 AJAX 发送该 ID 给后端。这种做法存在严重安全隐患——恶意用户可轻松修改前端数据,伪造他人身份提交操作。
✅ 正确方案:身份验证完全交由服务端完成,前端仅发起无敏感参数的请求。
✅ 安全实现流程
-
PHP 后端(like_handler.php)
利用已建立的 Session(需确保 session_start() 已调用),直接读取 $_SESSION['user_id'],校验登录状态,并执行数据库插入/更新:
false, 'message' => 'Unauthorized']);
exit;
}
require_once 'db.php'; // 假设已配置 PDO 连接 $pdo
$post_id = (int)($_POST['post_id'] ?? 0);
if ($post_id <= 0) {
http_response_code(400);
echo json_encode(['success' => false, 'message' => 'Invalid post ID']);
exit;
}
try {
// 使用预处理语句防止 SQL 注入
$stmt = $pdo->prepare("INSERT INTO likes (post_id, user_id) VALUES (?, ?) ON DUPLICATE KEY UPDATE id=id");
$stmt->execute([$post_id, $_SESSION['user_id']]);
// 获取最新点赞数(避免竞态,推荐用 COUNT 查询或维护冗余计数字段)
$countStmt = $pdo->prepare("SELECT COUNT(*) FROM likes WHERE post_id = ?");
$countStmt->execute([$post_id]);
$like_count = (int)$countStmt->fetchColumn();
echo json_encode([
'success' => true,
'like_count' => $like_count,
'action' => 'liked'
]);
} catch (PDOException $e) {
error_log('Like insert failed: ' . $e->getMessage());
http_response_code(500);
echo json_encode(['success' => false, 'message' => 'Server error']);
}-
前端 JavaScript(使用 Fetch API)
不传递 user_id,只传业务标识(如 post_id),信任服务端 Session 的完整性:
document.querySelectorAll('.like-btn').forEach(btn => {
btn.addEventListener('click', async function () {
const postId = this.dataset.postId;
const countSpan = this.querySelector('.like-count');
try {
const res = await fetch('like_handler.php', {
method: 'POST',
headers: { 'Content-Type': 'application/x-www-form-urlencoded' },
body: `post_id=${encodeURIComponent(postId)}`
});
const data = await res.json();
if (data.success) {
countSpan.textContent = data.like_count;
this.disabled = true; // 防重复点击
this.textContent = `? ${data.like_count}`;
} else {
alert('操作失败:' + data.message);
}
} catch (err) {
console.error('Network error:', err);
alert('网络错误,请重试');
}
});
});⚠️ 关键注意事项
- Session 必须启用且有效:确保所有相关脚本(包括 AJAX 处理页)都调用 session_start(),且 Cookie 设置正确(SameSite=Lax 或 Strict,禁用 JS 访问 HttpOnly)。
- 禁止前端传用户身份:user_id、username 等敏感标识绝不通过 AJAX 请求体、URL 参数或 DOM 属性传递。
- 防御重复提交:前端禁用按钮 + 后端幂等设计(如 INSERT ... ON DUPLICATE KEY 或先查后插)。
- 返回结构化响应:始终返回 JSON 格式,含 success 字段和必要业务数据(如新计数),便于前端统一处理。
- 错误处理要明确:区分客户端错误(400)、未授权(403)、服务器错误(500),并记录日志。
✅ 总结
无需“获取已加载页面中的 $_SESSION 值”——Session 是服务端状态,天然不可被前端直接读取。AJAX 请求会自动携带当前会话 Cookie,PHP 后端通过 session_start() 即可无缝复用会话数据。这种“前端无感、后端可信”的模式,正是 Web 应用中身份敏感操作的标准实践。
