Скрипт номер раз - лежит на сервере и получает всякие данные от клиентского скрипта. По окончанию работы с БД первый скрипт возвращает определенное число клиентскому скрипту. Клиентский скрипт в зависимости от числа пишет какую-то надпись.
Важно:
1. клиентский скрипт отсылает данные через аякс!!!
2. клиентский файл предназначен не для одного человека, а для многих.
В итоге я с чистой совестью пошел спать. Валявшись уже утром в полусне мне подумалось мне, что со стороны защиты у меня там огромная дырища. Взяв ноут я проверил свои догадки и оказалось, что я был прав
Суть дыры:
Пользователь в клиентский скрипт вводит свой (логин/пароль) в БД на сервере.
хост, имя пользователя БД, пароль от БД, имя БД, имя таблицы (чтобы серверный скрипт мог работать с БД клиента).
И вот что получается. Если оба скрипта уже на хостах. В клиентской части введены все данные. Я простой пользователь который заходит на клиентский скрипт и решаю посмотреть исходный код страницы. В результате я вижу не сложные js функции и подставляя где нужно alert'ы могу узнать логин/пароль и данные для доступа в БД
Вывод надо переписывать критические участки на php, теряется выполнение без перезагрузки зато появляется безопасная передача данных.
Вывод: Перепишу весь аякс напримр на curl, вот пока только одна проблема в том, что я не знаю как получить ответ от сервера курлом, так что буду читать и исправлять.
Спустя 43 минуты, 27 секунд (5.02.2012 - 13:07) Invis1ble написал(а):
| Цитата |
| логин/пароль и данные для доступа в БД |
А зачем клиентской части знать эти данные?
Спустя 10 минут, 52 секунды (5.02.2012 - 13:18) quickxyan написал(а):
Invis1ble
Ну вот ты например покупаешь у меня клиентскую часть и ставишь себе на сайт. На твой сайт заходит человек и заполняет форму регистрации в системе. А сама регистрация происходит на серверном скрипте.
Понимаю, что кажется закручено, но мне заказали такое чудо, вот и пишу
Ну вот ты например покупаешь у меня клиентскую часть и ставишь себе на сайт. На твой сайт заходит человек и заполняет форму регистрации в системе. А сама регистрация происходит на серверном скрипте.
Понимаю, что кажется закручено, но мне заказали такое чудо, вот и пишу
Спустя 46 минут, 29 секунд (5.02.2012 - 14:05) Invis1ble написал(а):
все равно, не понятно, зачем данные о БД держать в клиентской части
Спустя 4 минуты (5.02.2012 - 14:09) quickxyan написал(а):
Это данные о БД самого клиента. Если работать с БД в клиентской части, то тогда совсем не нужна серверная часть, а заказчик хочет продавать клиентскую часть, а у него будет серверная.
_____________
печатаю со скоростью 320 минут в знак...
плюсуем карму не стесняемся