Anda tidak boleh melakukan login pada halaman sudut karena semua data yang terkait ditangani oleh javascript yang dapat dengan mudah dihentikan, di-debug, dan dianalisis.
Cara yang lebih baik adalah:
- Buat index.php normal yang menyajikan formulir login kepada pengguna.
- Saat mengirimkan, periksa validitas dengan database Anda.
- Jika pengguna valid, mulailah sesi dan
headerke halaman aplikasi sudut yang sebenarnya. - Satu-satunya cara untuk memeriksa apakah ini adalah
php sessionyang valid ada diREST. Anda panggilan melaluihttpangular sudut layanan ke skrip php terkait database Anda. - Jadi setiap akses baca/tulis ke
REST apiyour harus memeriksa, apakah pengguna ini benar-benar diizinkan untuk melakukan operasi db ini dalam skrip php. - Jika pemeriksaan gagal,
headerkembali ke halaman login atau "Mengerti!" halaman.
Dengan cara ini penyerang mungkin dapat melihat kode js dari aplikasi sudut (jika dia entah bagaimana mendapatkan alamat sebenarnya) tetapi itu sama sekali tidak berguna baginya, karena dia tidak akan pernah bisa melihat data aktual selama dia tidak memulai php session yang valid . Dan datalah yang ingin Anda lindungi, bukan skrip aplikasi.
Singkatnya:Campur validasi PHP standar DAN Angular. Izinkan haxor masuk ke halaman Anda, tetapi jangan pernah tunjukkan data dasar Anda kepada mereka. Segera setelah seseorang mencoba mengacaukan data Anda, usir dia.
Ini hampir sama dengan jawaban yang saya berikan di sini
Cari kata kunci yang ditandai di situs PHP dan Angular untuk memahami ide di balik ini.
