<form name="MainForm" class="test ajax" method="post" action="./ajax.php">
<input type="hidden" name="variable" value="<?php echo $row ?>">
<input type="hidden" name="act" value="ajaxinquiry">
<button class="btn-send" type="submit">Отправить</button>
</form>
файл ajax.php выглядит примерно так:
class AuthorizationAjaxRequest extends AjaxRequest
{
public function ajaxinquiry()
{
if ($_SERVER["REQUEST_METHOD"] !== "POST") {
// Method Not Allowed
http_response_code(405);
header("Allow: POST");
$this->setFieldError("main", "Method Not Allowed");
return;
}
$variable = $this->getRequestParam("variable");
$user = new Auth\User();
try {
$new_user_id = $user->sqlrec($variable);
} catch (\Exception $e) {
$this->setFieldError("err", $e->getMessage());
return;
}
$this->setResponse("redirect", "/index");
$this->status = "ok";
}
}
потом после этого переменная $variable отправляется еще в один файл где уже идет запрос в бд через sqlrec.
Так вот все работает как надо, но если какой то умный человек перед тем как нажать на кнопку "Отправить" в том же самом гугл хроме кликнет "Просмотреть код" и начнет его там редактировать ,можно увидеть скрытый
<input type="hidden" name="variable" value="<?php echo $row ?>">и написать в value все что угодно и в итоге в запрос отправится не то что надо, как еще можно отправить такую информацию из формы чтоб ее не было видно, понятно что так по нубски никто не передает информацию но это единственное до чего я додумался )))