[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Ajax
Форум PHP программистов > Курсы PHP программирования
Vok
26.01.2011 - 00:31
Всем здравствуйте.

У меня вопрос. Кто-нибудь прикручивал Ajax на движок от IRBIS. Что нужно указать в req.open('post', 'адpес скрипта' , true );

Указывать файл из папки modules и естесственно он выкидывает на главную.
Указать файл, положенный отдельно - срабатывает. Но тут огромный минус... подключать все функции отдельно к этому файлу...





Спустя 18 минут, 22 секунды (25.01.2011 - 23:49) twin написал(а):
Цитата
Но тут огромный минус... подключать все функции отдельно к этому файлу...

Ничего не попишешь. Да и не такая это проблема на самом деле. Не забудь только ключевую константу определить.

Спустя 7 минут, 13 секунд (25.01.2011 - 23:56) Vok написал(а):
Спасибо за оперативный ответ... smile.gif
Ну чтож... можно и так, просто я думал - может быть есть другие варианты, которые я упустил...
Ключевую константу... это которую? IRB_KEY?
Из-за нее выкидывает на 404... sad.gif

И если инклюдишь файлы с константой, естественно, тоже кидает на 404... т.е. получается где то будет стоять защита, а где то нет? wink.gif

Спустя 10 часов, 4 минуты, 40 секунд (26.01.2011 - 10:01) Guest написал(а):
Единственный, на мой взгляд, выход - это писать вот так:

    if(!$_POST)
    {
        if(!defined('IRB_KEY'))
        {
         // Выкидываем
         }
     }
    
      // Выполняем код


Или есть другие варианты?

Спустя 21 минута, 26 секунд (26.01.2011 - 10:22) twin написал(а):
Можно и так, немного надежнее чем просто голый. smile.gif

Спустя 11 минут, 33 секунды (26.01.2011 - 10:34) Vok написал(а):
Ясно. Спасибо.

Спустя 2 часа, 53 минуты, 12 секунд (26.01.2011 - 13:27) KonstantinK написал(а):
Цитата
Ничего не попишешь. Да и не такая это проблема на самом деле. Не забудь только ключевую константу определить.


Да это вопрос с которым я недавно столкнулся, но получается если я определяю константу IRB_KEY в php файле который обрабатывает ajax запрос то этот php файл остается без защиты, фактически я могу обратиться к нему откуда угодно, да? Это мне кажется не хорошо, небезопасно или я что-то не понимаю?

Спустя 4 минуты, 17 секунд (26.01.2011 - 13:31) twin написал(а):
Это входной файл. Специально для запросов от клиента. Не приходит же нам в голову защищать главный индекс... Параноя это. smile.gif

Спустя 2 часа, 6 минут, 31 секунда (26.01.2011 - 15:38) KonstantinK написал(а):
twin
Николай смотри, входной то входной но.
Если к примеру php файл обрабатывающий ajax запрос заносит значение переменной $_POST['value1'](отсылаемой ajax) в бд, то фактически я могу с другого хоста отсылать точно такой же пост запрос, создав самую обычную форму, что может и не навредит сайту, но явно не предусмотрено нами как приемлемое поведение. Это как?

Спустя 16 минут, 46 секунд (26.01.2011 - 15:55) twin написал(а):
Так. И аякс тут совершенно непричем. Запрос отсылается не хостом, а клиентом. И естественно ты не узнаешь, твой скрипт сгенерил форму или это хацкер сделал руками или курлом. Скрипт просто принимает данные. И все. Саму информацию нужно защищать уже иначе.

Ну для пущей важности можно сессией прошить это все, только это припарка.

Спустя 1 час, 42 минуты, 38 секунд (26.01.2011 - 17:37) ApuktaChehov написал(а):
twin - истину глаголишь!

В общих случаях какая разница кто, что и откуда прислал. Главное, что бы посылка не навредила!

Ну, а потом уже можно понавешать проверок всяких: на хост, ip и т.д. до бесконечности.

Спустя 9 минут, 13 секунд (26.01.2011 - 17:47) KonstantinK написал(а):
Цитата
Главное, что бы посылка не навредила

Ладно сдаюсь не не вредит это понятно, а на остальное не обращаем внимания biggrin.gif
Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.