本文讲解如何利用 ajax 与 php 会话机制,在不刷新页面的情况下安全更新数据库,例如实现点赞/点踩功能,同时避免将用户 id 等敏感信息暴露在前端代码中,确保操作由服务端可信会话驱动。
在构建类似“点赞/点踩”的交互系统时,核心安全原则是:用户身份必须由服务端验证,绝不可依赖前端传入的 user_id。虽然 JavaScript 无法直接访问 PHP 的 $_SESSION,但可通过 AJAX 请求后端脚本,由该脚本在服务端读取并校验会话状态,再执行数据库操作——整个过程用户 ID 始终不离开服务器环境。
✅ 正确实现流程(前后端协同)
-
前端触发请求(不携带 user_id)
用户点击按钮时,仅发送安全标识(如 post_id 和动作类型),无需任何用户凭证:
<!-- 示例:点赞按钮 --> <button class="like-btn" data-post-id="123">? Like (<span class="like-count">5</span>)</button>
// 使用 Fetch API 发送请求
document.querySelectorAll('.like-btn').forEach(btn => {
btn.addEventListener('click', async function() {
const postId = this.dataset.postId;
try {
const res = await fetch('handle_like.php', {
method: 'POST',
headers: { 'Content-Type': 'application/x-www-form-urlencoded' },
body: `action=like&post_id=${postId}`
});
const data = await res.json();
if (data.success) {
// 更新 DOM 中的计数器
this.querySelector('.like-count').textContent = data.new_count;
this.disabled = true; // 防重复提交
} else {
alert('操作失败:' + data.message);
}
} catch (err) {
console.error('网络错误', err);
}
});
});-
后端验证并操作(PHP 安全处理)
handle_like.php 在服务端读取 $_SESSION['user_id'],校验登录状态、防重复点赞、写入数据库,并返回结构化响应:
<?php
session_start();
// 1. 强制校验登录态
if (!isset($_SESSION['user_id']) || !is_numeric($_SESSION['user_id'])) {
http_response_code(403);
echo json_encode(['success' => false, 'message' => '未登录或会话无效']);
exit;
}
require_once 'db.php'; // 数据库连接
$user_id = (int)$_SESSION['user_id'];
$post_id = (int)($_POST['post_id'] ?? 0);
$action = $_POST['action'] ?? '';
if ($post_id <= 0 || !in_array($action, ['like', 'dislike'])) {
http_response_code(400);
echo json_encode(['success' => false, 'message' => '参数错误']);
exit;
}
// 2. 防重复操作(检查是否已存在记录)
$stmt = $pdo->prepare("SELECT id FROM likes WHERE post_id = ? AND user_id = ?");
$stmt->execute([$post_id, $user_id]);
if ($stmt->fetch()) {
echo json_encode(['success' => false, 'message' => '您已操作过此内容']);
exit;
}
// 3. 执行插入(事务保障一致性)
try {
$pdo->beginTransaction();
$stmt = $pdo->prepare("INSERT INTO likes (post_id, user_id, type, created_at) VALUES (?, ?, ?, NOW())");
$stmt->execute([$post_id, $user_id, $action]);
// 4. 实时统计新点赞数(按需可扩展为缓存优化)
$countStmt = $pdo->prepare("SELECT COUNT(*) FROM likes WHERE post_id = ? AND type = 'like'");
$countStmt->execute([$post_id]);
$newCount = (int)$countStmt->fetchColumn();
$pdo->commit();
echo json_encode([
'success' => true,
'new_count' => $newCount,
'action' => $action
]);
} catch (Exception $e) {
$pdo->rollback();
error_log('Like insert failed: ' . $e->getMessage());
echo json_encode(['success' => false, 'message' => '服务器内部错误']);
}⚠️ 关键安全注意事项
- 绝不信任前端输入:$_SESSION['user_id'] 是唯一可信来源,禁止接收并使用 $_POST['user_id'];
- 启用 Session 安全配置:在 php.ini 中设置 session.cookie_httponly=1、session.cookie_secure=1(HTTPS 环境下);
- CSRF 防护建议:生产环境应加入一次性 token(如 $_SESSION['csrf_token']),并在 AJAX 请求头或表单中校验;
- 数据库约束强化:在 likes(post_id, user_id) 上建立唯一联合索引,从数据库层防止重复插入;
- 响应统一格式:始终返回 JSON,前端通过 data.success 判断逻辑结果,避免仅靠 HTTP 状态码。
✅ 总结
实现无刷新、高安全性的点赞系统,本质是「前端发起轻量请求 → 后端基于会话完成身份绑定与业务逻辑 → 返回结构化结果更新视图」。PHP 完全胜任该场景,无需额外语言;关键在于设计时坚持“敏感逻辑不下放、身份校验不绕行、数据操作有防护”的三原则。只要合理组织 AJAX 流程与服务端会话管理,即可兼顾用户体验与系统安全性。
