Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [Symfony][doctrine]Bezpieczeństwo danych
yaotzin
post
Post #1





Grupa: Zarejestrowani
Postów: 157
Pomógł: 0
Dołączył: 12.02.2007
Skąd: Zielona Góra

Ostrzeżenie: (0%)
-----

Witam

Tak mnie zastanawia w jaki sposób w symfony można chronić dane przed nieautoryzowanym usunięciem. Nie chodzi mi oto, że można powtórzyć żądanie logowania czy też pozwolić użytkownikom o określonych prawach pozwalać na usuwanie danych - te rzeczy są oczywiste. Bardziej mnie interesuje w jaki sposób maskuje się URL itp. Wiem, że może pytanie brzmi lamersko, ale zaczęło mnie to dzisiaj zastanawiać, gdy tak przyjrzałem się różnym projektom w symfony, gdzie usuwanie jest realizowane na zasadzie adresu URL jak example.com/my_module/delete/id/1. Jak widać usuwanie odbywa się po id - które zapewne może być kluczem głównym. Jak widać taki klucz łatwo zgadnąć. Co ciekawe klucze składające się z trzech części również nie są bezpieczne. Więc co, generowanie ich ze znaków losowych. Czy może symfony oferuje jakieś własne mechanizmy zabezpieczeń. Np. trzyma informacje o modelu gdzieś w pamięci itp. ? To są pierwsze dni z symfony - więc stąd moje pytania.

Pozdrawiam
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
thek
post
Post #2





Grupa: Moderatorzy
Postów: 4 362
Pomógł: 714
Dołączył: 12.02.2009
Skąd: Jak się położę tak leżę :D
To czy użyjesz get czy post jest sprawą drugorzędną. Obie formy i tak można łatwo spreparować. Z tym, że get łatwiej z racji większej widoczności parametrów. To co najistotniejsze to sprawdzanie uprawnień po nadejściu żądania. Nie może być tak, że user modyfikuje nie swoje dane. Co z tego że ma prawa do edycji, usuwania czy tworzenia, skoro próbuje je wykorzystać dla nie swoich zasobów? Jest to z reguły prosto rozwiązywane, ponieważ jakoś łączysz zazwyczaj dane usera z nim poprzez id lub w inny sposób jednoznacznie go identyfikujący. Sprawdzasz więc choćby id usera w sesji i id właściciela zasobu (no chyba, że masz jeszcze grupowe prawa dostępu). To z reguły wystarcza by wykluczyć lub potwierdzić prawa do zasobu. Tylko uważaj na grupy uprzywilejowane. Mi się kilka razy zdarzyło o tym zapomnieć i odciąłem w ten sposób admina, który był rozpoznawany jako user bez praw do modyfikacji zasobów innych osób (IMG:style_emoticons/default/smile.gif)
Go to the top of the page
+Quote Post

Posty w temacie
- yaotzin   [Symfony][doctrine]Bezpieczeństwo danych   11.01.2011, 22:36:06
- - Crozin   Po pierwsze, rzeczy typu "dodaj", ...   11.01.2011, 23:45:25
- - LBO   W jednym z prostszych projektów sprawdzam takie rz...   12.01.2011, 03:34:16
- - yaotzin   Obaj macie jak najbardziej rację. Co do Crozin...   12.01.2011, 08:24:42
- - Crozin   Po prostu wszystko obejmujesz formularzami.   12.01.2011, 09:14:50
- - thek   To czy użyjesz get czy post jest sprawą drugorzędn...   12.01.2011, 09:44:37
- - yaotzin   Cytat(Crozin @ 12.01.2011, 09:14:50 )...   12.01.2011, 11:08:38
- - Crozin   CytatA co z WC3?A co ma być? Formularz może być we...   12.01.2011, 12:44:27
- - bikerszymek   Nie każdy to wie ale symfony obsługuje coś takiego...   12.01.2011, 15:13:04
- - Crozin   @bikerszymek: To nadal jest żądanie POST, tylko z ...   12.01.2011, 15:17:59
- - bikerszymek   Cytat(Crozin @ 12.01.2011, 15:17:59 )...   12.01.2011, 15:28:33

« Następny starszy · Frameworki · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 15.10.2025 - 03:53
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn