 [PHP][HTML] umieszczanie nazw tabel w HTML a bezpieczeństwo? |
| [PHP][HTML] umieszczanie nazw tabel w HTML a bezpieczeństwo? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 141 Pomógł: 1 Dołączył: 2.12.2008 Ostrzeżenie: (0%) 
 |
Kiedyś robiłem pewą stronke i dzisiaj postanowiłem, że zoptymalizuje w niej kog źródłowy, zwłaszcza w AJAX (plik JS), bo kilkakrotnie miałem ten sam kod powielany który różnił się tylko parametrami zczytywanymi.
Zrobiłem to dość uniwersalnie tak że wszystkie dane z PHP przekazuje do kodu HTML a skrypt je sobie pobiera poprzez DOM i odpowiednio przetwarza oraz dokonuje ewentualnie aktualizacji w MySQL. I na tym etapie zadałem sobie pytanie czy bezpiecznie będzie jeżeli do HTML przekazuje nazwę tabeli z MySQL, tak by za pomocą DOM, AJAX mógł sobie je pobrać. np. mam kog w stylu: Kod <input type="text" name="article" index="15" tables="listArticles" cols="name" /> Gdzie tables to nazwa tabeli w BD. a cols = to nazwa kolumny W ten sposób, po drugiej stronie JS mam krótki skrypt który to wszystko obsluguje, ale jakoś wydaje mi się, że nie jest to bezpieczna metoda. Bo ktoś w HTML'u może sobie odczytać parametr tables i cols i jak pokombinuje to może mi zaśmiecić BD. Dlatego moje pytanie do was, czy jest to bezpieczne? A jeżeli nie to jak ewentualnie przekazać dane z PHP do pliku JS (bez przeładowywania strony). |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 141 Pomógł: 1 Dołączył: 2.12.2008 Ostrzeżenie: (0%)
|
No właśnie tak mi się coś wydawało, że jak tak to rozwiąże to nie będzie to bezpieczne. Tylko nie wiem jak innaczej przekazać stałą z nazwą tabeli z PHP do JS.
Oczywiście mogę to zrobić na zasadzie nadawania jakiegoś unikalnego klucza w includzie, na podstawie którego JS sobie go pobierze i przekaże do pliku wykonywalnego PHP, który zinterpretuje na jego podstawie do jakiej tabeli się on odwołuje. I wykreuje odpowiednie zapytanie do BD aktualizującej wpis. Ale to z kolei w mojej ocenie trochę mija się z celem, zwłaszcza kiedy w przyszłości rozbuduje się serwis o inne elementy (nowe tabele) to będzie trzeba ten skrypt odpowiednio wyedytować. Co do SQL Injection - to sądzę że raczej mam dobrze to zabezpieczone. A tak apropo zna ktoś jakieś fajne fuzzery do testowania aplikacji - najlepiej dobrze rozbudowane a zarazme nieskomplikowane w obsłudze? |
|
|
|
xajart [PHP][HTML] umieszczanie nazw tabel w HTML a bezpieczeństwo? 5.11.2009, 16:09:49 
cojack Tzn jeżeli skrypt nie jest zabezpieczony przed ata... 5.11.2009, 16:13:46 ucho Jeśli używasz MySql 6 i ktoś znajdzie jakieś SqlIn... 6.11.2009, 10:14:55 xajart Ściągnełem sobie jakiegoś fuzzera do sprawdzenia o... 22.11.2009, 00:24:52 rezik haKsior:
Kod... FROM information_schema.tables--
... 22.11.2009, 01:49:15 ziqzaq ~xajart
The Open Web Application Security Project ... 22.11.2009, 10:57:01 
xajart Są fuzzery kiedyś szukałem pod tym katem i jest ic... 22.11.2009, 14:25:07  |
|
Aktualny czas: 8.10.2025 - 17:28 |
