Kiedy jest przesyłana odpowiedź z serwera, można ją przechwycić i zmodyfikować. Nie wiem za bardzo, czy identycznie jest zarówno w php jak i w ajaksie, ale czy potrzebne są filtry zwracanych danych?
Pewnie jest to trochę niezrozumiałe, więc pokażę rozwiązanie, jakie jest mi potrzebne:
- zawartość strony jest modyfikowana tylko przeze mnie, więc najchętniej trzymałbym w bazie czysty HTML
I kiedy jest żądanie strony, to wraca czysty HTML. Kiedy ktoś go przechwyci i zmodyfikuje, to nie wiem do końca, czy w najgorszym wypadku wysypie stronę u siebie, czy mógłby coś nabroić na serwerze.
Co prawda stosuję jakiś skrypt JS, który znalazłem gdzieś tam.
To jak z tym bezpieczeństwem?
Pełna wersja: Kontrola zwracanych danych
W ogóle to nie wiem czemu to jest w tym dziale...
Nie wiem co masz na myśli, jeśli to, że ja będąc na Twojej stronie mogę zmienić odebrane dane z serwera - tak mogę. Mogę zmienić wszystko na tej stronie. Tylko co z tego, skoro tylko ja to będę widział.
Mas na myśli treść przechowywaną w bazie wraz ze znacznikami html? Można, nie polecam. Tak czy inaczej, wracając do głównego pytania, to jeśli ktoś zmodyfikuje zwrócony mu przez serwer kod html, to zmodyfikuje go tylko u siebie, a to nie wpływa na kod zwracany kolejnemu użytkownikowi. Dopiero jeśli pozwolisz komuś coś zmieniać w bazie, wtedy istnieje ryzyko (wręcz pewność), że znajdzie się ktoś, kto to wykorzysta nie tak jak byś chciał.
Cytat(Asmox @ 25.08.2010, 20:51:18 ) 
Kiedy jest przesyłana odpowiedź z serwera, można ją przechwycić i zmodyfikować.
Nie wiem co masz na myśli, jeśli to, że ja będąc na Twojej stronie mogę zmienić odebrane dane z serwera - tak mogę. Mogę zmienić wszystko na tej stronie. Tylko co z tego, skoro tylko ja to będę widział.
Cytat(Asmox @ 25.08.2010, 20:51:18 )
- zawartość strony jest modyfikowana tylko przeze mnie, więc najchętniej trzymałbym w bazie czysty HTML
I kiedy jest żądanie strony, to wraca czysty HTML. Kiedy ktoś go przechwyci i zmodyfikuje, to nie wiem do końca, czy w najgorszym wypadku wysypie stronę u siebie, czy mógłby coś nabroić na serwerze.
I kiedy jest żądanie strony, to wraca czysty HTML. Kiedy ktoś go przechwyci i zmodyfikuje, to nie wiem do końca, czy w najgorszym wypadku wysypie stronę u siebie, czy mógłby coś nabroić na serwerze.
Mas na myśli treść przechowywaną w bazie wraz ze znacznikami html? Można, nie polecam. Tak czy inaczej, wracając do głównego pytania, to jeśli ktoś zmodyfikuje zwrócony mu przez serwer kod html, to zmodyfikuje go tylko u siebie, a to nie wpływa na kod zwracany kolejnemu użytkownikowi. Dopiero jeśli pozwolisz komuś coś zmieniać w bazie, wtedy istnieje ryzyko (wręcz pewność), że znajdzie się ktoś, kto to wykorzysta nie tak jak byś chciał.
JS ma już wbudowane metody do operacji na JSON`ie (wcześniej, kiedyś tam, tego nie było i stosowało się załączony skrypt)
Nie rozumiem też po co Ci JSON jeśli zapisujesz czysty HTML. Jeśli filtrujesz dane wchodzące do bazy to będzie okej, ale po co Ci kod html w bazie? Może jakoś inaczej da się to rozwiązać, bo ogólnie to słaby pomysł trzymanie kodu HTML w bazie.
Nie rozumiem też po co Ci JSON jeśli zapisujesz czysty HTML. Jeśli filtrujesz dane wchodzące do bazy to będzie okej, ale po co Ci kod html w bazie? Może jakoś inaczej da się to rozwiązać, bo ogólnie to słaby pomysł trzymanie kodu HTML w bazie.
Cytat
W ogóle to nie wiem czemu to jest w tym dziale...
Aby odpowiedzieć na to pytanie, trzeba wytoczyć naprawdę ciężkie procesy myślowe. Na szczęście oszczędzę Ci tego i powiem, że chodzi o AJAX, a dokładnie jego odbieranie danych z serwera i możliwość ich modyfikacji.
Cytat
Mas na myśli treść przechowywaną w bazie wraz ze znacznikami html? Można, nie polecam.
Cytat
słaby pomysł trzymanie kodu HTML w bazie.
Powiedzcie, dlaczego. Nie wciskajmy wszędzie BB-Code'u.
Cytat
Nie rozumiem też po co Ci JSON jeśli zapisujesz czysty HTML.
Czysty html, to jedynie treść strony. Oprócz tego modyfikowany jest tytuł (<title>), menu, oraz parę innych elementów. Dlatego używam JSON
Jeśli ktoś jest w stanie podczepić ci się na linii serwer - przeglądarka to twoje zabezpieczenia nic ci nie dadzą. Może zmodyfikować każdy element (łącznie ze skryptami). Dlatego dla mnie jest to trochę zbytnia paranoja.
Co do samego HTMLu - jeśli tylko ty masz dostęp to może być. Ja bym jednak dla wszelkiego spokoju odfiltrowałbym wszystkie skrypty i zdarzenia - one i tak powinny być zamieszczane w osobnym pliku.
Co do samego HTMLu - jeśli tylko ty masz dostęp to może być. Ja bym jednak dla wszelkiego spokoju odfiltrowałbym wszystkie skrypty i zdarzenia - one i tak powinny być zamieszczane w osobnym pliku.
Cytat(Asmox @ 25.08.2010, 21:44:42 )
Aby odpowiedzieć na to pytanie, trzeba wytoczyć naprawdę ciężkie procesy myślowe. Na szczęście oszczędzę Ci tego i powiem, że chodzi o AJAX, a dokładnie jego odbieranie danych z serwera i możliwość ich modyfikacji.
Możliwość modyfikacji danych po stronie klienta jest oczywista, bo są one po stronie klienta. Dlatego dopytywałem się dokładniej, czy na prawdę to masz na myśli, bo skoro tak, to wg mnie powinno być w dziale przedszkole. Ale to tylko moja subiektywna opinia.
Cytat(Asmox @ 25.08.2010, 21:44:42 )
Powiedzcie, dlaczego. Nie wciskajmy wszędzie BB-Code'u.
Zależy co to jest, nic nie wiemy o Twoim rozwiązaniu. Jeśli jest to coś w rodzaju CMS'a, i chcesz mieć możliwość dokładnego ostylowania wpisów, do tego masz pewność, że nikt tych danych nie zmodyfikuje, to owszem możesz trzymać w czystym html. Z tym, że trzeba już uważać przy np komentarzach, bo mocne filtrowanie wtedy jest niezbędne.
Cytat(Asmox @ 25.08.2010, 21:44:42 )
Czysty html, to jedynie treść strony. Oprócz tego modyfikowany jest tytuł (<title>), menu, oraz parę innych elementów. Dlatego używam JSON
No to jeśli masz pakiet różnych danych, a chcesz to obsłużyć za pomocą jednego zapytania, to JSON jest b dobrym rozwiązaniem.
Ok, dzięki za odpowiedzi.
Swoją drogą założyłem ten wątek głównie dlatego, że nie chce mi się za bardzo napisać bbcode-parsera w JavaScriptcie dlatego, że wychodzi jakaś paranoja, bo:
- albo trzymać dane w bazie z bb codem, które to rozwiązanie jest preferowane przez wielu z nas, ale ja potrzebuję wszystkich znaczników, a pisać dla nich bbcode to nienormalne
- albo trzymać dane w plikach, gdzie miałbym wszystkie swoje znaczniki, ale ja potrzebuję łatwych modyfikacji danych, a robienie tego na plikach tekstowych jest bardzo utrudnione.
Oto istota mojego pytania, czy to, że w odpowiedzi jest czysty HTML i ktoś sobie tam wpisze jakiś skrypt JS (PHP odpada, bo to już jest poza serwerem) to czy może mi coś uszkodzić NA SERWERZE.
Dochodzę do wniosku, że nie, bo sam JS to nabroi tylko u użytkownika.
Nie zamierzam podawać nikomu hasła do bazy, udostępniać panelu admina ani nic w tym rodzaju.
Swoją drogą założyłem ten wątek głównie dlatego, że nie chce mi się za bardzo napisać bbcode-parsera w JavaScriptcie dlatego, że wychodzi jakaś paranoja, bo:
- albo trzymać dane w bazie z bb codem, które to rozwiązanie jest preferowane przez wielu z nas, ale ja potrzebuję wszystkich znaczników, a pisać dla nich bbcode to nienormalne
- albo trzymać dane w plikach, gdzie miałbym wszystkie swoje znaczniki, ale ja potrzebuję łatwych modyfikacji danych, a robienie tego na plikach tekstowych jest bardzo utrudnione.
Oto istota mojego pytania, czy to, że w odpowiedzi jest czysty HTML i ktoś sobie tam wpisze jakiś skrypt JS (PHP odpada, bo to już jest poza serwerem) to czy może mi coś uszkodzić NA SERWERZE.
Dochodzę do wniosku, że nie, bo sam JS to nabroi tylko u użytkownika.
Nie zamierzam podawać nikomu hasła do bazy, udostępniać panelu admina ani nic w tym rodzaju.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.