login  Naam:   Wachtwoord: 
Registreer je!
 Forum

xhmtlrequest beveiligen

Offline gothmog - 10/09/2008 17:06
Avatar van gothmogLid Hallo,

Via xhtmlrequest roep ik een bestand aan en in dat bestand worden dingen geupdated in de database. Nu is het voor iemand met een beetje kennis hierin niet moeilijk om dat bestand op te sporen en uit te voeren met eigen gegevens.

Hoe kan ik ervoor zorgen dat iemand dat niet zelf kan doen? Het gaat niet om het updaten van gevoelige gegevens, maar toch kan het irritant zijn als er rotzooi tussen wordt geplaatst.

Hoop dat jullie een tip hebben.

9 antwoorden

Gesponsorde links
Offline Wim - 10/09/2008 18:54
Avatar van Wim Crew algemeen de referrer url uit $_SERVER halen....? zo zie je volgens mij vanwaar het bestand opgevraagd wordt, daar ben je volgens mij voldoend emee
Offline Sitebase - 10/09/2008 21:55
Avatar van Sitebase PHP expert De referer controleren heeft niet echt veel nut aangezein deze zeer gemakkelijk te spoofen is.
Offline Rens - 10/09/2008 22:15
Avatar van Rens Gouden medaille

Crew algemeen
Je laat het bestand includen?
Dan kun je voor de "include <file>" regel een DEFINE zetten.
  1. <?PHP
  2. DEFINE("IS_CLEAR", true);
  3. include "file.php";

En in file.php:
  1. <?PHP
  2. if(!DEFINED("IS_CLEAR") || IS_CLEAR !== true)
  3. {
  4. echo "error";
  5. } else
  6. {
  7. // updaten
  8. }
Offline Sitebase - 11/09/2008 13:12
Avatar van Sitebase PHP expert @Rens: Hij wil het bestand met een xhtmlrequest(AJAX) aanroepen, niet includen.
Offline Ontani - 11/09/2008 13:23
Avatar van Ontani Gouden medailleGouden medailleGouden medailleGouden medaille

-1
Kan een sessie niet gedeeld worden over die verschillende pagina's?

Daar kan je dan een variabele instellen die het mogelijk maakt om op te controleren.
Offline Sitebase - 11/09/2008 16:51
Avatar van Sitebase PHP expert Dat is inderdaad een mogelijkheid Ontani.
Offline gothmog - 11/09/2008 17:16
Avatar van gothmog Lid @ontani, is mogelijk, maar hoe bouw je zon variabele dan op?
Een session_id bijv is niet genoeg, aangezien diegene dan eerst naar de home-pagina kan gaan en daarna naar de betreffende pagina waarin wordt geüpdatet. Het session_id is dan aangemaakt en zal hetzelfde blijven in dat venster.

Hetzelfde geldt voor een ander soort variabele die ik in een sessie zet. De variabele zou dan dus alleen moeten worden aangemaakt wanneer de persoon op een knop drukt, die moet in een sessie worden gezet zodat het te controleren valt... maar dat is onmogelijk.

Hebben jullie nog tips?
Offline Ontani - 11/09/2008 18:36
Avatar van Ontani Gouden medailleGouden medailleGouden medailleGouden medaille

-1
Een unique variabele die slecht 1x gebruikt mag worden bijvoorbeeld.
Opslaan in een tabel en kijken of die al voorgekomen is.
Offline Wim - 11/09/2008 18:38
Avatar van Wim Crew algemeen een sessie aanmaken vlak voor de request gedaan wordt...? zodat het niet te faken valt via een andere pagina?
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.236s