Forum PHP.pl

Witam!
Przerabiam formularz napisany w php z walidacja oparta o JS. Czy jest możliwość aby odczytać zmienna sesyjna ($_SESSION) i wykorzystać ją przy walidacji w JS? Chodzi mi o porównanie i odczyt w funkcji jak poniżej

[PHP] pobierz, plaintext 
    function validatetoken_text(){
        if(token_text.val() != $_SESSION['token_text'].val()){
            token_text.addClass("error");
            token_textInfo.text("Bad");
            token_textInfo.addClass("error");
            return false;
        }
        else{
            token_text.removeClass("error");
            token_textInfo.text("OK");
            token_textInfo.removeClass("error");
            return true;
        }
    }
[PHP] pobierz, plaintext 

Można ale napewno nie w taki sposób jak ty to próbujesz zrobić.

Odkrywcze to to nie było. Gdybym wiedział w jaki sposób to bym nie pisał na forum. Umieściłem taka wersje kodu na jakiej skończyłem pracować

[HTML] pobierz, plaintext 
 if(token_text.val() != $_SESSION['token_text'].val()){
[HTML] pobierz, plaintext 

W JavaScript nie istnieje coś takiego, jak $_SESSION, musisz tę wartość przekazać jako argument dla f-cji validatetoken_text().

Zrób skrypt-pośrednik działający via AJAX.

Ale udostępnienie całej zawartości tablicy sesyjnej via JS, to ewidentnie zły pomysł.

[HTML] pobierz, plaintext 
if(token_text.val() != '<?php print $_SESSION['token_text']; ?>'){
[HTML] pobierz, plaintext 

Ale to Ci nie zadziała w pliku JS. Na pewno najlepszym sposobem będzie pobranie wartości zmiennej sesyjnej przez Ajax.

ok czyli dla moje przykładu jest to nie możliwe Dobrze myśle?

mój formularz jest pod adresem http://vlaho.pl/b
a skrypt js pod adresem http://vlaho.pl/b/validation.js

Dodam ze całość opiera się na JQUERY

Ten post edytował kaznodzieja 3.03.2010, 16:37:57

Jeszcze jedna sprawa, po co Ci ten token skoro jest widoczny dla każdego? Mija się to z celem.

Po ze rejestrujący wpisuje kod z obrazka i na tej podstawie przepuszczam rejestracje dalej.

Ale to powinno być sprawdzane po stronie serwera. (IMG:style_emoticons/default/winksmiley.jpg)

i jesli jest robione po stronie serwera ,stosujesz technologię AJAX (IMG:style_emoticons/default/winksmiley.jpg)

Najlepiej daj sobie kod z obrazka w atrybucie alt, co się będą boty męczyć z szukaniem po plikach JS.

P.S. Takie stosowanie tokenów to jak montowanie najlepszych drzwi antywłamaniowych z kluczem pod wycieraczką.

No to możesz zaproponujecie inne metody zabezpieczenia formularza Na tych stronach które robiłem i które działają taki token zdawał egzamin

Pokaż mi stronę na której takie zabezpieczenia działało.

choćby na mojej domowej stronie Ale mniejsza o to. To może podziel się innym zabezpieczeniem. Chętnie zapoznam się z czym nowym

Ech, a czytałeś o CAPTCHA? Najprostsze implementacje.

Albo o SBLAM!. Mi nic nie przepuścił. (IMG:style_emoticons/default/winksmiley.jpg)

Nie chodzi o to że CAPTCHA jest zła (choć nie bardzo przepadam za tym rozwiązaniem), chodzi o to że nie możesz w żaden sposób przesłać kodu do przeglądarki, czy to do kodu HTML, czy JavaScript.

Co do zabezpieczeń to było na forum kilka wątków na ten temat.