ajax klic - php - varnost @ Slo-Tech

Forum » Izdelava spletišč »
ajax klic - php - varnost

ajax klic - php - varnost

smash :: 27. maj 2011, 13:45

iz neke strani index.htm naredim ajax klic neke server.php strani...

kako se zavarujete pred tem, da nebi nekdo poklical server.php stran iz nekje drugje, tako da bi sam zgeneriral request in mi naredil škodo

obstaja kakšna dobra praksa v zvezi s tem problemom?

lp

Nextor :: 27. maj 2011, 16:44

Preverjaš, če ima uporabnik veljaven session, ki ga generiraš na podlagi ip-ja, ter tipa in verzije brskalnika...?!

Zgodovina sprememb…

spremenilo: Nextor (27. maj 2011 ob 16:45)

jype :: 27. maj 2011, 16:48

Če hočeš, da poizvedba na drugo domeno uspe, moraš to dovolit:

https://developer.mozilla.org/en/http_a...

misek :: 27. maj 2011, 17:04

jype, to velja za brskalnik. smash pa sprašuje, kako se zaščititi na strani strežnika, kjer lahko dobiš poljubno zahtevo tudi z neveljavnimi podatki.

smash :: 27. maj 2011, 17:22

ma sej ne vem točno kako razložit:

recimo da imam v server.php neko funkcijo GetUsers() ki mi vrne seznam nekih ljudi

iz index.htm brez težav pokličem server.php in metodo GetUsers() preko $.ajax metode od jQueryja, pridobim te podatke in appendam v DOM

verjetno je mogoče to metodo GetUsers poklicati tudi iz kje drugje...kar pa nebi hotel

kako torej zavarovati te klice preko ajax-a?

MrBrdo :: 27. maj 2011, 17:44

Iz brskalnika cross-domain AJAX requesti itak niso mogoči. Lahko ti pa kdorkoli naredi request npr. preko ukazne vrstice (curl) iz terminala, pred tem se pa ne moreš zaščitit drugače kot če preverjaš IP naslov ali uvedeš nek authentication token.

MrBrdo

HardFu :: 27. maj 2011, 17:57

Za začetek: http://snipplr.com/view/1060/check-for-...
Torej prvo da je valid ajax in ne navaden get, potem pa kot je reke Nextor, narediš nek key, ki ga shraniš v session in preveriš ali ta key pri ajax requestu tudi obstaja.

http://codeable.io

Nextor :: 27. maj 2011, 18:00

Jas bi to zagotovo rešil z session... se pravi, ko pride user na stran mu php generira cookie/session, ki je sestavljen iz ip-ja in podatki od brskalnika in potem, ko z ajax-om kličeš na določeno skripto, skripta preveri, če obstaja cookie/session, če obstaja mu vrne zahtevane podatke, če ne pa die!

edit:
Me je HardPhuck malo prehitel z obrazložitvijo... ;)

Mogoče še to, kateri koli način boš izbral, bo zgolj prepreka za amaterje! Za guruje, ki obvladajo cURL, bo zadeva mala malica...

Zgodovina sprememb…

spremenilo: Nextor (27. maj 2011 ob 18:14)

smash :: 27. maj 2011, 18:44

verjetno bom naredil authentication token...

sam zanimalo me je kako to rešujete pri ajax/php

misek :: 27. maj 2011, 18:58

Ampak tudi token ti ne rešuje problema. Osnovno stran lahko zahteva ne samo veljaven brskalnik ampak tudi kakšna skripta (curl). In le-ta dobi token. Nato izvede ajax zahtevo ampak in na strežniku se le-ta pač pravilno izvede glede na vhodne parametre.
Google ajax security vrne polno zadetkov na to temo.

Vredno ogleda ...

	Tema	Sporočila	Ogledi	Zadnje sporočilo
	Tema	Sporočila	Ogledi	Zadnje sporočilo
»	PHP POST težava gufy123 Oddelek: Programiranje	12	1617 (1483)	DeeJay 30. avg 2017 14:00:28
»	Javascript: Kako prekličem izvajanje Ajax zahtevka? falconnn Oddelek: Programiranje	11	2196 (1745)	falconnn 5. jul 2017 09:26:13
»	jquery ajax webservices asp.net smash Oddelek: Izdelava spletišč	14	1222 (1037)	sas084 27. feb 2012 16:07:35
»	[PHP/JavaScript] tic tac toe šrawfncigr Oddelek: Programiranje	17	1674 (1407)	illion 9. feb 2012 22:05:23
»	Download vsebine strani s JS alexa-lol Oddelek: Izdelava spletišč	47	2558 (1856)	MrBrdo 9. sep 2011 15:51:02

Več podobnih tem

Zadnje novice

Zadnji članki

Išči:

Forum » Izdelava spletišč »
ajax klic - php - varnost

ajax klic - php - varnost