Спустя 1 минута, 35 секунд (2.02.2012 - 17:16) nugle написал(а):
Jack_White
через сессию передавай
через сессию передавай
Спустя 6 минут, 15 секунд (2.02.2012 - 17:23) Jack_White написал(а):
nugle
Если через сессию, то давать уникальные имена сессионным переменным, ведь если пользователь откроет в одном браузере несколько тем то они будут затираться?
Мож у кого-нибудь есть ссылки на подобные темы?
Если через сессию, то давать уникальные имена сессионным переменным, ведь если пользователь откроет в одном браузере несколько тем то они будут затираться?
Мож у кого-нибудь есть ссылки на подобные темы?
Спустя 1 час, 1 минута, 13 секунд (2.02.2012 - 18:24) Xes написал(а):
А зачем те безопасность в форуме. Ну представь вот я покапаюсь в коде этой страницы и моее сообщение попадет в соседнию ветку, кому от этого будет плохо? 
Спустя 53 минуты, 37 секунд (2.02.2012 - 19:18) Jack_White написал(а):
Xes
Я просто учусь, а это конкретный пример вот задался целью, а вот когда четко понадобится тогда я эт уже буду уметь делать
Я просто учусь, а это конкретный пример вот задался целью, а вот когда четко понадобится тогда я эт уже буду уметь делать
Спустя 59 секунд (2.02.2012 - 19:19) Shadez написал(а):
Правильно и безопасно - проверять пришедшие данные на сервер. Заморачиваться такими делами у клиента не обязательно.
Спустя 2 минуты, 24 секунды (2.02.2012 - 19:21) Jack_White написал(а):
Shadez
Так я и не собираюсь их проверять у клиента, у меня вопрос как безопасно и правильно передать их на сервер
Так я и не собираюсь их проверять у клиента, у меня вопрос как безопасно и правильно передать их на сервер
Спустя 2 минуты, 54 секунды (2.02.2012 - 19:24) Xes написал(а):
Просто пример на самом деле неудачный, не реальный. Тежело над ним размышлять, и развивать тему ...
Переменную пост в любом случае можно послать какую хочешь, это данные от клиента к серверу.
Если что то секретить то наверное действительно в сесиях.
Переменную пост в любом случае можно послать какую хочешь, это данные от клиента к серверу.
Если что то секретить то наверное действительно в сесиях.
Спустя 1 минута, 45 секунд (2.02.2012 - 19:26) Jack_White написал(а):
Xes
ок спасибо буду думаать
ок спасибо буду думаать
Спустя 13 минут, 17 секунд (2.02.2012 - 19:39) Shadez написал(а):
Jack_White
Пардоньте, не так понял.
Если идет отправка формы на тот же скрипт, что отвечает и за просмотр темы, то можно проверить айдишники как в гет, так и в пост запросах. В другом случае - попробовать смотреть реферера.
А еще можно слать захешированный ID топика в соседнем скрытом поле. На сервере захешировали пришедший raw-ID, сравнили с POST-хешем. Если идентичны, то подмены не было.
Подытожив, скажу, что отправлять ID темы в POST-запросе так же безопасно (или небезопасно), как и отправка тела сообщения и т.д. Главное, что бы приложение корректные проверки устраивало.
Пардоньте, не так понял.
Если идет отправка формы на тот же скрипт, что отвечает и за просмотр темы, то можно проверить айдишники как в гет, так и в пост запросах. В другом случае - попробовать смотреть реферера.
А еще можно слать захешированный ID топика в соседнем скрытом поле. На сервере захешировали пришедший raw-ID, сравнили с POST-хешем. Если идентичны, то подмены не было.
Подытожив, скажу, что отправлять ID темы в POST-запросе так же безопасно (или небезопасно), как и отправка тела сообщения и т.д. Главное, что бы приложение корректные проверки устраивало.
Спустя 47 минут, 36 секунд (2.02.2012 - 20:26) neadekvat написал(а):
Я бы максимум проверял существование темы.
Спустя 2 минуты, 37 секунд (2.02.2012 - 20:29) Jack_White написал(а):
Shadez
Ну с телом сообщения проще
Ну с телом сообщения проще
| Цитата (Shadez @ 2.02.2012 - 16:39) |
| А еще можно слать захешированный ID топика в соседнем скрытом поле. На сервере захешировали пришедший raw-ID, сравнили с POST-хешем. Если идентичны, то подмены не было. |
Интересно)
Спустя 3 минуты, 23 секунды (2.02.2012 - 20:32) Jack_White написал(а):
neadekvat
ну а вот если б стояла задача - проверять, я просто столкнулся вот теперь и думаю)
Гуглил там в основном с использованием js, но если отключат js или подправят все на смарку
ну а вот если б стояла задача - проверять, я просто столкнулся вот теперь и думаю)
Гуглил там в основном с использованием js, но если отключат js или подправят все на смарку
Спустя 4 минуты, 4 секунды (2.02.2012 - 20:37) neadekvat написал(а):
Jack_White, я те так скажу - ставь все, даже учебные задачи, в пределах разумного. Не надо настаивать на "Ага, а тогда если он...", это не принесет пользы. Код распухнет, обрастет всякой херней, но ты вряд ли чему-то научишься. Разве что говнокодить.
Спустя 5 минут, 37 секунд (2.02.2012 - 20:42) Jack_White написал(а):
neadekvat
А как вообще на форумах это, так же можно подправить и сообщение пойдет не в ту тему? Просто если я неправильно мыслю в плане этой проверки, значит либо так у всех и никто не парится, либо существуют более правильные решения? Я просто хочу понять в какую сторону двигаться...
А как вообще на форумах это, так же можно подправить и сообщение пойдет не в ту тему? Просто если я неправильно мыслю в плане этой проверки, значит либо так у всех и никто не парится, либо существуют более правильные решения? Я просто хочу понять в какую сторону двигаться...
Спустя 9 минут, 46 секунд (2.02.2012 - 20:52) neadekvat написал(а):
| Цитата (Jack_White @ 2.02.2012 - 21:42) |
| так же можно подправить и сообщение пойдет не в ту тему? |
Да, именно.
На этом форуме, в частности, еще id форума указывается.
Я не думаю, что это какая-то уязвимость. Потому что проверка на права писать в той или иной теме должна проходить уже после отправки сообщения. Так что тут просто пользователь сам себя дураком выставит и все)
Спустя 3 минуты, 47 секунд (2.02.2012 - 20:56) Jack_White написал(а):
neadekvat
Ясно, спасибо
Ясно, спасибо