type="password"仅掩码显示而非隐藏字段,真正隐藏需用动态生成带签名的type="hidden";敏感逻辑必须以服务端状态(如$_SESSION)为准,绝不可信任任何表单提交值。
PHP表单里用 type="password" 不等于隐藏字段
很多人以为把 当作“隐藏敏感字段”,其实它只是掩码显示,值仍会随表单提交——后端照样能收到明文(比如密码原文)。真要“隐藏”,是指不让用户看到、也不该出现在 HTML 源码里,比如 CSRF token、预置的用户 ID、加密盐值等。这类字段必须用 ,且内容不能是硬编码的敏感值,得动态生成、带校验逻辑。
用
直接写死在 HTML 里的 value(如 )等于把权限交到客户端手上。攻击者可轻易改写并提交伪造请求。正确做法是:
- 后端生成一个短期有效的、带签名的令牌(token),比如用
hash_hmac('sha256', $user_id . $timestamp, $_SESSION['secret_key']) - 把
$user_id和$timestamp拼接后 base64 编码,再和签名一起存入 hidden 字段: - 提交后,PHP 需验证签名、检查时间戳是否过期、确认 user_id 是否与当前 session 匹配
别用 $_POST 直接信任 hidden 字段的值
哪怕用了 type="hidden",只要它出现在表单里,就完全可控。常见错误包括:
- 从数据库查出用户邮箱,塞进 hidden 字段,然后在处理逻辑里直接用
$_POST['email']发送重置链接——攻击者可改成任意邮箱 - 用
$_POST['role']判断权限级别,而这个值来自 hidden 字段——绕过前端限制轻而易举 - 没做 session 绑定,token 可被跨用户复用
所有敏感语义(如身份、权限、资源归属)必须以服务端状态为准:查 $_SESSION['user_id'],再查库确认该用户是否有权操作目标资源,而不是反向依赖表单传来的任何标识。
立即学习“PHP免费学习笔记(深入)”;
真正需要“不提交”的敏感字段,压根不该出现在表单里
有些信息根本不需要 POST,比如当前登录用户的 IP、User-Agent、请求时间——这些应该由 PHP 在服务端用 $_SERVER['REMOTE_ADDR']、$_SERVER['HTTP_USER_AGENT'] 等直接获取。放进 hidden 字段不仅多余,还增加篡改面。同理,密钥、API secret、数据库连接参数等,绝不能以任何形式输出到 HTML 或 JS 中;它们只该存在于配置文件(不在 webroot 下)、环境变量或 PHP 扩展(如 SODIUM)管理的内存中。
