Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [JavaScript] Brak bezpieczeństwa danych?
Forum PHP.pl > Forum > Przedszkole
Skie
28.08.2008, 19:32:07
Tak, to mój kolejny post dzisiaj winksmiley.jpg
Czy da się zablokować przyjmowanie przez stronkę komend JS wprowadzane poprzez pasek wyszukiwania w przeglądarce?

Chodzi mi o to, żeby nie działały komendy typu java script:cos=cos; gdyz to powoduje brak bezpieczenstwa danych przetrzymywanych w jakiejkolwiek zmiennej w JS.
robos85
28.08.2008, 20:32:55
poczytaj o htmlspecialchars" title="Zobacz w manualu PHP" target="_manual, strip_tags" title="Zobacz w manualu PHP" target="_manual, mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual smile.gif
ew. zobacz na ten post: LINK
pyro
28.08.2008, 20:50:19
Cytat(robos85 @ 28.08.2008, 21:32:55 ) *
poczytaj o [manual\]htmlspecialchars\[/manual\], [manual\]strip_tags\[/manual\], [manual\]mysql_real_escape_string\[/manual\] smile.gif
ew. zobacz na ten post: LINK


Co ty za bzdury gadasz.

Cytat("Skie")
Tak, to mój kolejny post dzisiaj winksmiley.jpg
Czy da się zablokować przyjmowanie przez stronkę komend JS wprowadzane poprzez pasek wyszukiwania w przeglądarce?

Chodzi mi o to, żeby nie działały komendy typu java script:cos=cos; gdyz to powoduje brak bezpieczenstwa danych przetrzymywanych w jakiejkolwiek zmiennej w JS.


Takiego wykonywania javascript nie da sie zablokowac
dr_bonzo
28.08.2008, 21:55:49
Cytat
Chodzi mi o to, żeby nie działały komendy typu java script:cos=cos; gdyz to powoduje brak bezpieczenstwa danych przetrzymywanych w jakiejkolwiek zmiennej w JS.

To nie powinno ci w niczym przeszkodzic, widocznie masz zle aplikacje napisana, i tak musisz walidowac dane przysylane od usera, nie wazne czy normalnym formem czy JSem.
Skie
29.08.2008, 17:30:16
Tzn. chodzi mi o to, że jeżeli będę wszystkie dane sprawdzał z poziomu PHP to wykorzystanie JavaScript straci trochę sens. Mam robudowany skrypt JS który pobierane dane z pliku w formacie JSON, tworzy z nich obiekt i następnie na tych danych wykonuje pewne operacje. Z danych koncowych wywoluje inny plik PHP z odpowiednimi zmiennymi. Niestety taka zmienna w JS latwo podmienic, a jezeli mialbym w pliku php ponownie sprawdzac czy wszystko jest ok parsujac od nowa caly plik JSON to boje sie ze skrypt stracilby duzo na szybkosci dzialania. A liczy sie kazda 1 ms.
fernet
29.08.2008, 17:43:22
Zawsze wszystkie dane powinienes sprawdzac z poziomu PHP a js ma blokowac zapytanie do serwera zeby chlopak nie musial analizowac kazdej pierdoly ale musi byc na to przugotowany.

Nie wiem czy to ci sie na cos przyda ale z php mozesz sprawdzic skad te dane przychodza i jesli nie przychodza one z wskazanego adresu mozesh zawiesic dzalania skryptu
dr_bonzo
29.08.2008, 17:56:15
Cytat
Tzn. chodzi mi o to, że jeżeli będę wszystkie dane sprawdzał z poziomu PHP to wykorzystanie JavaScript straci trochę sens. Mam robudowany skrypt JS który pobierane dane z pliku w formacie JSON, tworzy z nich obiekt i następnie na tych danych wykonuje pewne operacje. Z danych koncowych wywoluje inny plik PHP z odpowiednimi zmiennymi. Niestety taka zmienna w JS latwo podmienic, a jezeli mialbym w pliku php ponownie sprawdzac czy wszystko jest ok parsujac od nowa caly plik JSON to boje sie ze skrypt stracilby duzo na szybkosci dzialania. A liczy sie kazda 1 ms.

No przeciez to bez sensu, patrze jaki request leci, i go podmieniam, i moge wszystko, bo twoj JS ktorego nie wlaczylem nie dziala.

edit:
Cytat
Nie wiem czy to ci sie na cos przyda ale z php mozesz sprawdzic skad te dane przychodza i jesli nie przychodza one z wskazanego adresu mozesh zawiesic dzalania skryptu

To tez mozna podrobic, latwo.
Skie
29.08.2008, 17:57:30
Hmm. Ale czy jest jakaś różnica w pocohdzeniu danych, jeżeli skrypt PHP zostanie wczytany Requestem przez plik JS, aniżeli ktoś wpisze w przeglądarce po prostu np. java script:funkcja(dane) ?
dr_bonzo
29.08.2008, 18:00:30
Nie wazne co robi JS, wazne co wysyla do PHP, te same dane moge sobie wyslac byle czym innym, pomijajac twoje walidacje JSowe.
Skie
29.08.2008, 18:12:17
Czyli nie ma bata i muszę to zrobić w taki sposób, by w JS były funkcje zarządzające plikiem PHP, a sam PHP musiałby sprawdzać czy dana "akcja" jest możliwa dla danego usera.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.