bezpieczeństwo xajaxa i HTTP Request, jak stosować post i get w przypadku ważnych danych? Opcje

[mrok]

Witam

Chciałbym się dowiedzieć jak oceniacie bezpieczeństwo stosowania xajaxa lub httpresponse (get i post) w „administracji CMS”. Rozumiem to tak, że na serwerze wystawiam sobie jakąś stronę/skrypt w php który reaguje na zadania przesłane przez ajaxa (w adresie lub jako ukryte pola), a rezultat wyrzuca jako wynik do html-a. Istnieje przecież prosty sposób na podejrzenie takiego przesyłania (np. firebug w firefoxie), wtedy nie trzeba się logować tylko wysłać na „wystawioną stronę” odpowiednie zapytanie i możemy udawać admina. Co stosujecie, aby uwiarygodnić użytkownika przesyłającego ważne dane przez ajaxa (sprawdzic czy jest juz zalogowany, jakie ma prawa etc)(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

[NoiseMc]

sprawdzic czy jest juz zalogowany, jakie ma prawa etc

XMLHttpRequest wysyla tez cookie na podstawie ktorego mozna po stronie serwera sprawdzic czy uzytkownik jest zalogowany i ma prawa do wykonania danej akcji.

Co do podmiany danych i wysylania swoich podstawionych ... normalna strone www tez mozna zapisac na dysku, podmienic wartosci i wyslac tak wiec nie ma znaczenia czy bedzie to przeslane postem przez przegladarke czy XMLHttpRequest, curl czy inne..
U siebie sprawdzam po stronie serwera czy sesja jeszcze nie wygasla i czy user ma prawo do wykonania akcji, potem filtruje wejscie, wykonuje akcjie i wysylam zaJsonowany status OK albo NIEOK albo cokolwiek chce sobie odebrac i na podstawie tego decyduje czy wyswietlic komunikat o sukcesie wykonania akcji czy moze usera do strony logowania przeslac

[mrok]

O tym cookie to nie wiedziałem.
Teraz to życie powino być łatwiejsze. (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
Dzięki za szybką pomoc.

[bełdzio]

http://www.owasp.org/index.php/Ajax_and_Ot...ce_Technologies :-)