Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> ajax + bezpieczenstwo skryptu
Sequan
post
Post #1





Grupa: Zarejestrowani
Postów: 3
Pomógł: 0
Dołączył: 18.05.2007

Ostrzeżenie: (0%)
-----


Witam

Zastanawiam się właśnie nad bezpieczeństwem jednego z rozwiązań jakie chcę wdrożyć na stronie, mianowicie chodzi o wywołania ajax'em. Sprawa jest taka, użytkownik po zalogowaniu się do swojego profilu powinien mieć na bieżąco aktualizowany box z wiadomościami do niego wysłanymi. Oczywiście wiadomości nie powinny być dostępne ani widoczne dla nikogo innego.
Rozwiązanie jakie wymyśliłem to coś takiego:
1) użytkownik po zalogowaniu dostaje jakiś hash na przykład całkiem przypadkowy z jego loginu i losowej liczby
2) hash ten zapisywany jest wraz z numerem IP komputera i datą zalogowania z którego się zalogował w jakieś bazce
3) odświeżenie okienka jego wiadomości wywoływane jest przez ajaxa pobierając GETem strone o adresie np. wiadomosci.php?recent=1212133&hash=[tutaj jego hash z pkt 2]
4) serwer sprawdza czy hash sie zgadza, czy IP jest ok i jeśli tak odpowiada kawałkiem htmla z wiadomościami.

Zauważyłem że na przykład nasza klasa robi dość podobnie...
Pytanie moje - czy takie rozwiązanie jest bezpieczne i wydajne, a może robi się to zupełnie inaczej ? Poradzcie

Pozdrawiam
Sequan
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi (1 - 1)
Quantum
post
Post #2





Grupa: Zarejestrowani
Postów: 450
Pomógł: 84
Dołączył: 27.11.2008
Skąd: Warszawa

Ostrzeżenie: (0%)
-----


Ajax'em pobierasz wiadomosci.php, w tym pliku sprawdzasz czy user jest zalogowany, jeśli tak to pobierasz jego id i przypisane do niego wiadomości. Za sprawdzanie IP itp. odpowiada session handler.

Ten post edytował sniffer32 31.10.2009, 10:38:58
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 15.09.2025 - 02:04