login  Naam:   Wachtwoord: 
Registreer je!
 Forum

[PHP-AJAX-JS] Beveiligingsissue

Offline finduilas - 05/03/2014 11:54
Avatar van finduilasPHP gevorderde Hallo

Ik ben bezig met een project. Ik heb een kaart (google Maps API) met enkele markers. Als je klikt op die markers krijg je een infoWindow.

Nu is het de bedoeling dat je die specifieke markers kan toevoegen aan een planning. Daarom heb ik een link toegevoegd in die infoWindow. Dit is gewoon een javascript:void(0);addToList(61).

Hier zit mijn probleem. Javascript kan gemanipuleerd worden. Die addToList is een JS functie die een ajax call doet.

Mijn vraag is nu, wat is de beste manier om dit te beveiligen. Want die addToList kan eigenlijk altijd worden opgeroepen. Ik denk er aan om gewoon eerst te controleren of het een integer is, en daarna te kijken of het een geldige record is..

Of zijn er andere manieren?

2 antwoorden

Gesponsorde links
Offline Thomas - 05/03/2014 13:32
Avatar van Thomas Moderator Het is geen probleem als iedereen die functie aan kan roepen, zolang als de afhandeling ervan (PHP script?) maar niets (ongewensts) doet als iemand niet geauthoriseerd is. Hetzelfde voor het ophalen van informatie met behulp van een AJAX call, uiteindelijk komt hier een (PHP-)script aan te pas waar je kunt controleren of iemand de juiste "credentials" heeft.

Kortom: beveiliging werkt nog steeds (het beste?) als voorheen: aan de serverkant.

Vergelijk: er zijn zat API's die precies beschrijven hoe iets werkt (welke functies beschikbaar zijn), maar dat wil niet zeggen dat iedereen er gebruik van kan maken, bij het doen van aanroepen / maken van connecties zul je jezelf moeten identificeren, of, zoals in jouw geval, je controleert een reeds eerder ingevoerde idenficatie. Op grond daarvan doe je hetgeen waarvoor de functie bestemd was... of niets.
Offline finduilas - 05/03/2014 14:37
Avatar van finduilas PHP gevorderde Owkey, de controle dus aan de serverside .
Ik dacht het wel.. Maar misschien dat het met jquery anders kon..
Gesponsorde links
Je moet ingelogd zijn om een reactie te kunnen posten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.158s