[egorix]

Если например хакер видит у меня на страницах сайта в файле .js такое:

$.ajax({
type: "POST",
url: "/core/ajax/load_friends_list.inc.php",
data: "name=John&location=Boston",
success: function(msg){
alert( "Data Saved: " + msg );
}
});

он может обратиться к этой странице (/core/ajax/load_friends_list.inc.php) напрямую с POST запросом и выполнить любую операцию, но с теми данными которые ему нужны...
Как от этого защититься?

Использую модуль jquery...

[ivan341]

Напиши класс с privat для php
А вообще - ты написал сайт с js. Все работает как часы.
Берешь свои jquery коды и запихиваешь в myscript.js и кодируешь.

Больше нех не знаю.

[kost]

Цитата:

Сообщение от egorix

он может обратиться к этой странице (/core/ajax/load_friends_list.inc.php) напрямую с POST запросом и выполнить любую операцию, но с теми данными которые ему нужны...
Как от этого защититься?

А мысли, что данные надо проверять и фильтровать, не возникало?

Кстати, странно как-то вы данные через post передаете.

[egorix]

Фильтровка само-собой делается!
Надо только на JS ещё сделать фильтровку, правда не знаю как...

И тут дело совсем не в фильтрации. Если файл выполняет функцию удаления чего-либо. То он мог бы просто удалить что попало изменив id и всё! Тут никакой иньекции не надо.

deMone меня навёл на мысль, что ведь сессии работают! И уже непонятно откуда обратиться нельзя будет. Основная проблема решена.

Alkeeper предложил свой вариант ещё один (я его наверное использую тоже как дополнение к сессиям):
if((isset($_SERVER['HTTP_X_REQUESTED_WITH'])) && $_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')
{

# handling ajax requests here

} else {

# пашол нах*й

}

[kost]

Ну да.

Где это вы на мысли наводились и варианты обсуждали?

[egorix]

в ICQ

[VictorS]

IMHO, здесь нужно не отслеживать, откуда идет запрос (все равно можно все это подделать), а проконтролировать процесс обработки запроса - какой-бы ни был запрос, чтобы скрипт не сделал ничего лишнего (не удалил лишнего и т.п.). Если существует вероятность, что подменив запрос хакер сможет заставить скрипт сделать что-то не то, проблема именно в самом скрипт (в том как он обрабатывает запрос).

[Асмодиан]

Можно такой вариант:
Генерируя страницу, содержащую данный скрипт, делается следующее
<?php
$str = md5(time() . "MySecretKeyword");
$_SESSION['AjaxSessionKey'] = $str;
echo '<script type="text/javascript">';
echo 'var sessionkey = "' . $str . '";';
echo '</script>'
?>

Ну вот, а вызов запроса тогда будет таким:

$.ajax({
type: "POST",
url: "/core/ajax/load_friends_list.inc.php",
data: "name=John&location=Boston&sessionKey=" + sessionkey,
success: function(msg){
alert( "Data Saved: " + msg );
}
});

А у файлика load_friends_list.inc.php будет сверка ключей.


И ведь в чём фишка: полученный ключ - сессионный, после перезагрузки исходной страницы он уже смениться. Если пользователь не авторизировался на сайте, то он просто не получит этот ключ, так как не доберётся до страницы, его генерирующей.
Единственная возможная хакерская уловка в данном случае - это перехват данных, но она возможна всегда и лечится только при помощи ssl

[kost]

Makarenya, вы предлагаете js генерировать средствами php?

По-моему, проблема надумана -- можно все спокойно проверять на серверной части.

[Асмодиан]

Гы, согласен.