सर्वर पर डेटा बदलने का अनुरोध क्यों नहीं करना चाहिए?

पूरे इंटरनेट पर, मुझे निम्नलिखित सलाह दिखाई देती है:

एक GET सर्वर पर डेटा को कभी नहीं बदलना चाहिए- उसके लिए एक POST अनुरोध का उपयोग करें

इस विचार का आधार क्या है?

यदि मैं एक php सेवा बनाता हूं जो डेटाबेस में डेटा सम्मिलित करता है, और इसे GET क्वेरी स्ट्रिंग में पैरामीटर पास करता है, तो यह गलत क्यों है? (मैं एसक्यूएल इंजेक्शन की देखभाल के लिए तैयार किए गए बयानों का उपयोग कर रहा हूं)। क्या किसी तरह से POST अनुरोध अधिक सुरक्षित है?

या इसकी कोई ऐतिहासिक वजह है? यदि हां, तो यह सलाह आज कितनी वैध है?

यह सलाह नहीं है।

HTTP प्रोटोकॉलGET में A को इस तरह से परिभाषित किया गया है । यह माना जाता है idempotent और सुरक्षित ।

क्यों के लिए - GETताज़ा किया जा सकता है और एक ब्राउज़र में कैश किया जा सकता है। ओवर एंड ओवर एंड ओवर।

इसका मतलब है कि यदि आप GETफिर से वही बनाते हैं , तो आप अपने डेटाबेस में फिर से डालेंगे ।

इस बात पर विचार करें कि यदि GETलिंक बन जाता है तो इसका क्या मतलब हो सकता है और यह एक खोज इंजन द्वारा क्रॉल हो जाता है। आपके पास अपना डेटाबेस डुप्लिकेट डेटा से भरा होगा।

मेरा सुझाव है कि आप यूआरआई, एड्रेसबिलिटी, और HTTP जीईटी और पोस्ट का उपयोग करें ।

कुछ ब्राउज़रों में लिंक प्रीफ़ेटिंग के साथ एक समस्या भी है - वे पूर्व-लिंक लिंक को कॉल करेंगे, भले ही पृष्ठ लेखक द्वारा ऐसा संकेत न दिया गया हो।

यदि कहें, तो आपका लॉग आउट एक "जीईटी" के पीछे है, जो आपकी साइट के प्रत्येक पृष्ठ से जुड़ा हुआ है, लोग इस व्यवहार के कारण लॉग आउट कर सकते हैं।

प्रत्येक HTTP क्रिया की अपनी जिम्मेदारी है। उदाहरण के लिए GET, जैसा कि आरएफसी द्वारा परिभाषित किया गया है

अनुरोध-URI द्वारा पहचानी गई किसी भी जानकारी (एक इकाई के रूप में) को पुनः प्राप्त करना।

POSTदूसरी ओर, का अर्थ है सम्मिलित करना या अधिक औपचारिक रूप से

POST विधि का उपयोग अनुरोध करने के लिए किया जाता है कि मूल सर्वर
अनुरोध में संलग्न इकाई
को अनुरोध-लाइन में अनुरोध-यूआरआई द्वारा पहचाने गए संसाधन के नए अधीनस्थ के रूप में स्वीकार करता है

इसे इस प्रकार रखने के कारण:

• यह बहुत सरल है और 1991 से वैश्विक इंटरनेट पैमाने पर काम करता है
• एकल जिम्मेदारी सिद्धांत के लिए छड़ी
• अन्य पक्ष GETसूचना पुनर्प्राप्ति और डेटा खनन के माध्यम के रूप में कार्य करने के लिए उपयोग करते हैं
• GET को एक सुरक्षित संचालन माना जाता है जो संसाधन की स्थिति को कभी भी संशोधित नहीं करता है
• सुरक्षा विचार, GETप्रभावी रूप से पढ़ा जाता है , जबकि POSTप्रभावी रूप से एक लेखन है
• GET को ब्राउज़र, नेटवर्क में नोड्स, इंटरनेट सर्विस प्रोवाइडर्स द्वारा कैश किया जाता है
• जब तक सामग्री नहीं बदलती है, तब तक एक GETही URL को सभी उपयोगकर्ताओं के लिए एक ही परिणाम वापस करना होगा या फिर आपको कोई भरोसा नहीं होगा कि लौटे परिणाम में कभी ऐसा क्या है

पूर्णता और केवल सही उपयोग (स्रोत) लागू करने के लिए :

• GETपैरामीटर URL के हिस्से के रूप में पारित किए जाते हैं, जो डिफ़ॉल्ट रूप से 256 वर्णों की छोटी और सीमित लंबाई के होते हैं, कुछ सर्वर 4000+ वर्णों का समर्थन करते हैं। यदि आप एक लंबा रिकॉर्ड सम्मिलित करना चाहते हैं, तो इस डेटा को पास करने का कोई वैध तरीका नहीं है
• का उपयोग करते समय सुरक्षित कनेक्शन, ̶ जैसे टीएलएस, ̶ यूआरएल है नहीं मिल रहा है एन्क्रिप्टेड, ̶ इसलिए सभी मापदंडों के ̶ ̶G̶E̶T̶̶ हैं हस्तांतरित सादा पाठ। URL टीएसएस के साथ एन्क्रिप्टेड है, इसलिए टीएलएस ठीक है।
• द्विआधारी डेटा या गैर-एएससीआईआई अक्षरों का उपयोग GETकरना अव्यावहारिक है
• GET यदि उपयोगकर्ता किसी ब्राउज़र में बैक बटन दबाता है तो उसे फिर से निष्पादित किया जाता है
• कुछ पुराने क्रॉलर URL को ?अंदर साइन के साथ अनुक्रमित नहीं कर सकते हैं

EDIT: इससे पहले, मैंने कहा कि POST आपको CSRF से बचाने में मदद करता है लेकिन यह गलत है। मैंने इसके बारे में सही तरीके से नहीं सोचा। CSRF से सुरक्षा के लिए डेटा बदलने के लिए आपको अपने सभी अनुरोधों में एक सत्र-स्कोप अद्वितीय छिपे हुए टोकन की आवश्यकता होगी।

इंटरनेट के शुरुआती दिनों में ब्राउज़र एक्सेलेरेटर थे। ये कार्यक्रम सामग्री को कैश करने के लिए एक पृष्ठ पर लिंक पर क्लिक करना शुरू कर देंगे। Google वेब त्वरक इनमें से एक कार्यक्रम था। यह एक आवेदन पर कहर बरपा सकता है जो लिंक पर क्लिक करने पर परिवर्तन करता है। मैं यह धारणा बनाऊंगा कि अभी भी त्वरक सॉफ्टवेयर का उपयोग करने वाले लोग हैं।

प्रॉक्सी सर्वर और ब्राउजर GET रिक्वेस्ट को कैश कर देंगे, ताकि जब यूजर पेज को दोबारा एक्सेस करे तो हो सकता है कि वह आपके एप्लिकेशन को रिक्वेस्ट न भेजे इसलिए यूजर को लगता है कि उन्होंने एक्शन लिया है, लेकिन उन्होंने वास्तव में ऐसा नहीं किया।

यदि मैं एक php सेवा बनाता हूं जो डेटाबेस में डेटा सम्मिलित करता है, और इसे GET क्वेरी स्ट्रिंग में पैरामीटर पास करता है, तो यह गलत क्यों है?

सबसे सरल उत्तर है "क्योंकि GETइसका मतलब यह नहीं है।"

GETएक अद्यतन के लिए डेटा पास करने के लिए उपयोग करना एक प्रेम पत्र लिखने और एक लिफाफे में "विशेष प्रस्ताव - अधिनियम अब!" दोनों ही मामलों में, आपको प्राप्तकर्ता को आश्चर्यचकित नहीं करना चाहिए और / या बिचौलिये आपके संदेश को गलत तरीके से पेश करते हैं ।

डेटाबेस-केंद्रित अनुप्रयोग में अपने CRUD संचालन के लिए निम्न स्कीमा का उपयोग करें:

पढ़ें संचालन के लिए HTTP GET का उपयोग करें (SQL चयन)

अपडेट ऑपरेशंस के लिए HTTP PUT का उपयोग करें (SQL UPDATE)

क्रिएट ऑपरेशन्स के लिए HTTP POST का उपयोग करें (SQL INSERT)

डिलीट ऑपरेशंस के लिए HTTP DELETE का उपयोग करें (SQL DELETE)

एक GET सर्वर पर डेटा को कभी नहीं बदलना चाहिए- उसके लिए एक POST अनुरोध का उपयोग करें

वह सलाह, और यहाँ सभी उत्तर गलत हैं। जाहिर है मैं अत्यधिक नाटकीय हो रहा हूं, अन्य उत्तर उत्कृष्ट हैं, लेकिन मेरा मानना ​​है कि सटीक सलाह इस प्रकार दी जानी चाहिए:

जीईटी को सर्वर पर डेटा को शायद ही कभी बदलना चाहिए- उसके लिए एक पोस्ट अनुरोध का उपयोग करें

"कभी नहीं" कहने के लिए बहुत चरम है, और यद्यपि यहां अन्य उत्तर सटीक रूप से समझाते हैं कि आपको "शायद ही कभी" ऐसा क्यों करना चाहिए, कुछ परिदृश्य हैं जहां जीईटी के साथ डेटा बदलना पूरी तरह से उचित है। एक उदाहरण एक बार उपयोग ईमेल सत्यापन लिंक है। आमतौर पर इन लिंक में एक GUID होता है जिसे एक्सेस करने पर डेटा बदलना होगा। यदि बाद में समान GET अनुरोधों को सही ढंग से कार्यान्वित किया जाता है तो इसे अनदेखा कर दिया जाएगा।

यह स्पष्ट रूप से एक किनारे का मामला है, लेकिन निश्चित रूप से ध्यान देने योग्य है।