Anda tidak boleh melakukan login pada halaman sudut karena semua data yang terkait ditangani oleh javascript yang dapat dengan mudah dihentikan, di-debug, dan dianalisis.
Cara yang lebih baik adalah:
- Buat index.php normal yang menyajikan formulir login kepada pengguna.
- Saat mengirimkan, periksa validitas dengan database Anda.
- Jika pengguna valid, mulailah sesi dan
header
ke halaman aplikasi sudut yang sebenarnya. - Satu-satunya cara untuk memeriksa apakah ini adalah
php session
yang valid ada diREST
. Anda panggilan melaluihttp
angular sudut layanan ke skrip php terkait database Anda. - Jadi setiap akses baca/tulis ke
REST api
your harus memeriksa, apakah pengguna ini benar-benar diizinkan untuk melakukan operasi db ini dalam skrip php. - Jika pemeriksaan gagal,
header
kembali ke halaman login atau "Mengerti!" halaman.
Dengan cara ini penyerang mungkin dapat melihat kode js dari aplikasi sudut (jika dia entah bagaimana mendapatkan alamat sebenarnya) tetapi itu sama sekali tidak berguna baginya, karena dia tidak akan pernah bisa melihat data aktual selama dia tidak memulai php session
yang valid . Dan datalah yang ingin Anda lindungi, bukan skrip aplikasi.
Singkatnya:Campur validasi PHP standar DAN Angular. Izinkan haxor masuk ke halaman Anda, tetapi jangan pernah tunjukkan data dasar Anda kepada mereka. Segera setelah seseorang mencoba mengacaukan data Anda, usir dia.
Ini hampir sama dengan jawaban yang saya berikan di sini
Cari kata kunci yang ditandai di situs PHP dan Angular untuk memahami ide di balik ini.