<input type="image" id="le" src="'.URLSITE.'/images/arrow_le.png" value="1" OnClick="NewHotelsRead(\'le\')">
Пользователь сохраняет ее у себя меняет value="1" на value="12" и нажимает кнопку запрос куда пойдет в локально сохраненные файлы?
Вобщем вопрос про безопасность если юзер может кавырять что угодно с кодом js это не опасно?
Наверное глупый вопрос но все же.
Спустя 56 минут, 49 секунд (21.08.2011 - 21:33) inpost написал(а):
Xes
Посмотри конкурс на форуме последний, который ещё не закончился, по капче. Я почти все работы взломал, просто менял данные из формы, подставлял нужное в JS, то, что мне нужно было.
Безопасность нарушается там, когда человеку есть доступ к файловой системе или к БД.
Надо распределять права. Допустим если это guest и ему можно отправлять только value=1, то надо делать проверку уже в скрипте-обработчике. Форма - это клиентская часть, та часть, которую он может менять так, как ему захочется. Когда клиент взаимодействует напрямую с БД (регистрация, письма), или с файловой системой (загрузка файлов) - там надо четко проверять каждый параметр из допустимых!
Посмотри конкурс на форуме последний, который ещё не закончился, по капче. Я почти все работы взломал, просто менял данные из формы, подставлял нужное в JS, то, что мне нужно было.
Безопасность нарушается там, когда человеку есть доступ к файловой системе или к БД.
Надо распределять права. Допустим если это guest и ему можно отправлять только value=1, то надо делать проверку уже в скрипте-обработчике. Форма - это клиентская часть, та часть, которую он может менять так, как ему захочется. Когда клиент взаимодействует напрямую с БД (регистрация, письма), или с файловой системой (загрузка файлов) - там надо четко проверять каждый параметр из допустимых!
Спустя 4 минуты, 3 секунды (21.08.2011 - 21:37) Guest написал(а):
запрос пойдет туда, куда указан путь в форме, если он изменит путь в форуме на http://твой сайт/, то запрос пойдет к тебе на сервер.
проверять js'ом - это чисто для удобства пользователей, ну допустим чтобы форму не очищать + интерактив, грубо говоря для красоты.
защита от всяких изменений должна быть на стороне сервера, т.е. в php файлах принимающих запросы.
проверять js'ом - это чисто для удобства пользователей, ну допустим чтобы форму не очищать + интерактив, грубо говоря для красоты.
защита от всяких изменений должна быть на стороне сервера, т.е. в php файлах принимающих запросы.
Спустя 2 минуты, 20 секунд (21.08.2011 - 21:39) inpost написал(а):
Xes
Как сказал guest, JS - это для удобства пользователя. Например ему красиво и быстро продемонстрировать, что форму не так заполнил, или объект красиво показал. В случае с формой, после отправки на сервер данных, ты должен будешь уже на PHP ещё раз проверить данные. JS, повторюсь, это только для красоты, клиентской красоты.
Как сказал guest, JS - это для удобства пользователя. Например ему красиво и быстро продемонстрировать, что форму не так заполнил, или объект красиво показал. В случае с формой, после отправки на сервер данных, ты должен будешь уже на PHP ещё раз проверить данные. JS, повторюсь, это только для красоты, клиентской красоты.