本文介绍如何利用 php 会话(`$_session`)与 ajax 结合,实现点赞/点踩等交互操作的无刷新更新,确保用户身份不被前端篡改,兼顾安全性与用户体验。
在构建如“点赞/点踩”这类需用户身份鉴权的交互功能时,一个常见误区是将 $_session[‘user_id’] 直接暴露在 html 或 javaScript 中(例如写入 data-user-id 属性),再通过 ajax 发送该 ID 给后端。这种做法存在严重安全隐患——恶意用户可轻松修改前端数据,伪造他人身份提交操作。
✅ 正确方案:身份验证完全交由服务端完成,前端仅发起无敏感参数的请求。
✅ 安全实现流程
- php 后端(like_handler.php)
利用已建立的 Session(需确保 session_start() 已调用),直接读取 $_SESSION[‘user_id’],校验登录状态,并执行数据库插入/更新:
false, 'message' => 'Unauthorized']); exit; } require_once 'db.php'; // 假设已配置 PDO 连接 $pdo $post_id = (int)($_POST['post_id'] ?? 0); if ($post_id <= 0) { http_response_code(400); echo json_encode(['success' => false, 'message' => 'Invalid post ID']); exit; } try { // 使用预处理语句防止 SQL 注入 $stmt = $pdo->prepare("INSERT INTO likes (post_id, user_id) VALUES (?, ?) ON DUPLICATE KEY UPDATE id=id"); $stmt->execute([$post_id, $_SESSION['user_id']]); // 获取最新点赞数(避免竞态,推荐用 COUNT 查询或维护冗余计数字段) $countStmt = $pdo->prepare("SELECT COUNT(*) FROM likes WHERE post_id = ?"); $countStmt->execute([$post_id]); $like_count = (int)$countStmt->fetchColumn(); echo json_encode([ 'success' => true, 'like_count' => $like_count, 'action' => 'liked' ]); } catch (PDOException $e) { error_log('Like insert failed: ' . $e->getMessage()); http_response_code(500); echo json_encode(['success' => false, 'message' => 'Server error']); }- 前端 javascript(使用 Fetch API)
不传递 user_id,只传业务标识(如 post_id),信任服务端 Session 的完整性:
document.querySelectorAll('.like-btn').forEach(btn => { btn.addEventListener('click', async function () { const postId = this.dataset.postId; const countSpan = this.querySelector('.like-count'); try { const res = await fetch('like_handler.php', { method: 'POST', headers: { 'Content-Type': 'application/x-www-form-urlencoded' }, body: `post_id=${encodeURIComponent(postId)}` }); const data = await res.json(); if (data.success) { countSpan.textContent = data.like_count; this.disabled = true; // 防重复点击 this.textContent = `? ${data.like_count}`; } else { alert('操作失败:' + data.message); } } catch (err) { console.error('Network error:', err); alert('网络错误,请重试'); } }); });⚠️ 关键注意事项
- Session 必须启用且有效:确保所有相关脚本(包括 AJAX 处理页)都调用 session_start(),且 cookie 设置正确(SameSite=Lax 或 Strict,禁用 JS 访问 HttpOnly)。
- 禁止前端传用户身份:user_id、username 等敏感标识绝不通过 AJAX 请求体、URL 参数或 dom 属性传递。
- 防御重复提交:前端禁用按钮 + 后端幂等设计(如 INSERT … ON DUPLICATE KEY 或先查后插)。
- 返回结构化响应:始终返回 json 格式,含 success 字段和必要业务数据(如新计数),便于前端统一处理。
- 错误处理要明确:区分客户端错误(400)、未授权(403)、服务器错误(500),并记录日志。
✅ 总结
无需“获取已加载页面中的 $_SESSION 值”——Session 是服务端状态,天然不可被前端直接读取。AJAX 请求会自动携带当前会话 Cookie,PHP 后端通过 session_start() 即可无缝复用会话数据。这种“前端无感、后端可信”的模式,正是 Web 应用中身份敏感操作的标准实践。