Tại sao không nên yêu cầu GET thay đổi dữ liệu trên máy chủ?

Trên internet, tôi thấy những lời khuyên sau:

GET không bao giờ nên thay đổi dữ liệu trên máy chủ - sử dụng yêu cầu POST cho điều đó

Cơ sở cho ý tưởng này là gì?

Nếu tôi tạo một dịch vụ php chèn dữ liệu vào cơ sở dữ liệu và truyền tham số cho nó trong chuỗi truy vấn GET, tại sao điều đó lại sai? (Tôi đang sử dụng các câu lệnh đã được chuẩn bị, để chăm sóc SQL Injection). Là một yêu cầu POST theo một cách nào đó an toàn hơn?

Hoặc có một số lý do lịch sử cho việc này? Nếu vậy làm thế nào hợp lệ là lời khuyên này ngày hôm nay?

Đây không phải là lời khuyên.

A GETđược định nghĩa theo cách này trong giao thức HTTP . Nó được coi là idempotent và an toàn .

Về lý do - một GETcó thể được lưu trữ và trong một trình duyệt, được làm mới. Hơn và hơn và hơn.

Điều này có nghĩa rằng nếu bạn thực hiện cùng GETmột lần nữa, bạn sẽ chèn vào cơ sở dữ liệu của bạn một lần nữa .

Xem xét điều này có nghĩa là gì nếu GETtrở thành một liên kết và nó được thu thập bởi một công cụ tìm kiếm. Bạn sẽ có cơ sở dữ liệu của bạn đầy đủ dữ liệu trùng lặp.

Tôi cũng đề nghị đọc URI, Địa chỉ và sử dụng HTTP GET và POST .

Ngoài ra còn có một vấn đề với việc tìm nạp trước liên kết trong một số trình duyệt - họ sẽ thực hiện cuộc gọi đến các liên kết tìm nạp trước, ngay cả khi tác giả trang không chỉ ra như vậy.

Nếu, giả sử, đăng xuất của bạn đứng sau "NHẬN", được liên kết từ mọi trang trên trang web của bạn, mọi người có thể bị đăng xuất chỉ do hành vi này.

Mỗi động từ HTTP có trách nhiệm riêng của nó. Ví dụ GET, như được định nghĩa bởi RFC

có nghĩa là lấy bất kỳ thông tin nào (dưới dạng thực thể) được xác định bởi URI yêu cầu.

POST, mặt khác, có nghĩa là chèn hoặc chính thức hơn

Phương thức POST được sử dụng để yêu cầu máy chủ gốc chấp nhận
thực thể được đính kèm trong yêu cầu dưới dạng cấp dưới mới của tài nguyên
được xác định bởi URI yêu cầu trong Dòng yêu cầu

Lý do để giữ nó theo cách này:

• Nó rất đơn giản và hoạt động trên quy mô Internet toàn cầu kể từ năm 1991
• Bám sát nguyên tắc trách nhiệm duy nhất
• Các bên khác sử dụng GETđể hoạt động như một phương tiện truy xuất thông tin và khai thác dữ liệu
• GET được coi là một hoạt động an toàn không bao giờ sửa đổi trạng thái của tài nguyên
• Cân nhắc bảo mật, thực sự GETlà một bài đọc , trong khi đó thực sự POSTlà một bài viết
• GET được lưu trữ bởi các trình duyệt, các nút trong mạng, Nhà cung cấp dịch vụ Internet
• Trừ khi nội dung thay đổi, GETvới cùng một URL phải trả lại cùng một kết quả cho tất cả người dùng, nếu không bạn sẽ không có bất kỳ sự tin tưởng nào trong kết quả được trả về

Để hoàn thiện và chỉ để thực thi việc sử dụng (nguồn) chính xác :

• GETcác tham số được truyền dưới dạng một phần của URL, có độ dài nhỏ và giới hạn 256 ký tự theo mặc định, với một số máy chủ hỗ trợ hơn 4000 ký tự. Nếu bạn muốn chèn một bản ghi dài, không có cách nào hợp pháp để truyền dữ liệu này vào
• Khi sử dụng Bảo mật kết nối, ̶ như TLS, ̶ url là không nhận được mã hóa, ̶ do đó tất cả các thông số của ̶ ̶G̶E̶T̶̶ được chuyển Plain Text. URL được mã hóa bằng mã hóa bằng TLS, vì vậy TLS vẫn ổn.
• Chèn dữ liệu nhị phân hoặc ký tự không phải ASCII bằng cách sử dụng GETlà không thực tế
• GET được thực thi lại nếu người dùng nhấn nút Quay lại trong trình duyệt
• Một số trình thu thập thông tin cũ hơn có thể không lập chỉ mục các URL có ?dấu bên trong

EDIT: Trước đây, tôi đã nói POST giúp bảo vệ bạn chống lại CSRF nhưng điều này là sai. Tôi đã không nghĩ điều này thông qua chính xác. Bạn phải yêu cầu mã thông báo ẩn duy nhất trong phạm vi phiên trong tất cả các yêu cầu của bạn để thay đổi dữ liệu để bảo vệ chống lại CSRF.

Trong những ngày đầu của Internet có trình duyệt tăng tốc. Các chương trình này sẽ bắt đầu nhấp vào liên kết trên một trang để lưu trữ nội dung. Google Web Accelerator là một trong những chương trình này. Điều này có thể tàn phá một ứng dụng thực hiện thay đổi khi nhấp vào liên kết. Tôi sẽ đưa ra giả định rằng vẫn còn người sử dụng phần mềm tăng tốc.

Các máy chủ và trình duyệt proxy sẽ lưu trữ các yêu cầu GET để khi người dùng truy cập lại vào trang, nó có thể không gửi yêu cầu đến ứng dụng của bạn để người dùng nghĩ rằng họ đã thực hiện một hành động, nhưng họ thực sự không làm vậy.

Nếu tôi tạo một dịch vụ php chèn dữ liệu vào cơ sở dữ liệu và truyền tham số cho nó trong chuỗi truy vấn GET, tại sao điều đó lại sai?

Câu trả lời đơn giản nhất là "bởi vì đó không phải GETlà ý nghĩa."

Sử dụng GETđể truyền dữ liệu cho một bản cập nhật cũng giống như viết một bức thư tình và gửi nó trong một phong bì được đánh dấu "ƯU ĐÃI ĐẶC BIỆT - HÀNH ĐỘNG NGAY BÂY GIỜ!" Trong cả hai trường hợp, bạn không nên ngạc nhiên khi người nhận và / hoặc người trung gian xử lý sai thông điệp của bạn .

Đối với các hoạt động CRUD của bạn trong ứng dụng tập trung vào cơ sở dữ liệu, hãy sử dụng lược đồ sau:

Sử dụng HTTP GET cho các hoạt động đọc (SQL SELECT)

Sử dụng HTTP PUT cho các hoạt động cập nhật (SQL UPDATE)

Sử dụng HTTP POST để tạo hoạt động (SQL INSERT)

Sử dụng HTTP DELETE để xóa các hoạt động (SQL DELETE)

GET không bao giờ nên thay đổi dữ liệu trên máy chủ - sử dụng yêu cầu POST cho điều đó

Lời khuyên đó, và tất cả các câu trả lời ở đây đều sai. Rõ ràng là tôi đang quá kịch tính, các câu trả lời khác là tuyệt vời, nhưng tôi tin rằng lời khuyên chính xác nên được đưa ra là:

Một GET nên hiếm khi thay đổi dữ liệu trên máy chủ - sử dụng yêu cầu POST cho điều đó

Nói "không bao giờ" là quá cực đoan, và mặc dù các câu trả lời khác ở đây giải thích chính xác lý do tại sao bạn "hiếm khi" làm điều đó, có một số trường hợp hoàn toàn hợp lý để thay đổi dữ liệu bằng GET. Một ví dụ là liên kết xác minh email sử dụng một lần. Thông thường các liên kết này chứa GUID mà khi truy cập sẽ phải thay đổi dữ liệu. Nếu thực hiện đúng các yêu cầu GET giống hệt tiếp theo sẽ bị bỏ qua.

Đây rõ ràng là một trường hợp cạnh, nhưng chắc chắn đáng chú ý.