Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP][HTML] umieszczanie nazw tabel w HTML a bezpieczeństwo?
xajart
post
Post #1





Grupa: Zarejestrowani
Postów: 141
Pomógł: 1
Dołączył: 2.12.2008

Ostrzeżenie: (0%)
-----


Kiedyś robiłem pewą stronke i dzisiaj postanowiłem, że zoptymalizuje w niej kog źródłowy, zwłaszcza w AJAX (plik JS), bo kilkakrotnie miałem ten sam kod powielany który różnił się tylko parametrami zczytywanymi. 

Zrobiłem to dość uniwersalnie tak że wszystkie dane z PHP przekazuje do kodu HTML a skrypt je sobie pobiera poprzez DOM i odpowiednio przetwarza oraz dokonuje ewentualnie aktualizacji w MySQL. 

I na tym etapie zadałem sobie pytanie czy bezpiecznie będzie jeżeli do HTML przekazuje nazwę tabeli z MySQL, tak by za pomocą DOM, AJAX mógł sobie je pobrać.
np. mam kog w stylu:
Kod
<input type="text" name="article" index="15" tables="listArticles" cols="name" />

Gdzie tables to nazwa tabeli w BD. 
a cols = to nazwa kolumny

W ten sposób, po drugiej stronie JS mam krótki skrypt który to wszystko obsluguje, ale jakoś wydaje mi się, że nie jest to bezpieczna metoda. Bo ktoś w HTML'u może sobie odczytać parametr tables i cols i jak pokombinuje to może mi zaśmiecić BD. 

Dlatego moje pytanie do was, czy jest to bezpieczne? A jeżeli nie to jak ewentualnie przekazać dane z PHP do pliku JS (bez przeładowywania strony).


Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
xajart
post
Post #2





Grupa: Zarejestrowani
Postów: 141
Pomógł: 1
Dołączył: 2.12.2008

Ostrzeżenie: (0%)
-----


No właśnie tak mi się coś wydawało, że jak tak to rozwiąże to nie będzie to bezpieczne. Tylko nie wiem jak innaczej przekazać stałą z nazwą tabeli z PHP do JS.
Oczywiście mogę to zrobić na zasadzie nadawania jakiegoś unikalnego klucza w includzie, na podstawie którego JS sobie go pobierze i przekaże do pliku wykonywalnego PHP, który zinterpretuje na jego podstawie do jakiej tabeli się on odwołuje. I wykreuje odpowiednie zapytanie do BD aktualizującej wpis. Ale to z kolei w mojej ocenie trochę mija się z celem, zwłaszcza kiedy w przyszłości rozbuduje się serwis o inne elementy (nowe tabele) to będzie trzeba ten skrypt odpowiednio wyedytować. 

Co do SQL Injection - to sądzę że raczej mam dobrze to zabezpieczone. A tak apropo zna ktoś jakieś fajne fuzzery do testowania aplikacji - najlepiej dobrze rozbudowane a zarazme nieskomplikowane w obsłudze?


Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 8.10.2025 - 17:28