[JavaScript] Brak bezpieczeństwa danych? Opcje

[Skie]

Tak, to mój kolejny post dzisiaj (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
Czy da się zablokować przyjmowanie przez stronkę komend JS wprowadzane poprzez pasek wyszukiwania w przeglądarce?

Chodzi mi o to, żeby nie działały komendy typu java script:cos=cos; gdyz to powoduje brak bezpieczenstwa danych przetrzymywanych w jakiejkolwiek zmiennej w JS.

[robos85]

poczytaj o htmlspecialchars" title="Zobacz w manualu PHP" target="_manual, strip_tags" title="Zobacz w manualu PHP" target="_manual, mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
ew. zobacz na ten post: LINK

Ten post edytował robos85 28.08.2008, 20:35:09

[pyro]

poczytaj o [manual\]htmlspecialchars\[/manual\], [manual\]strip_tags\[/manual\], [manual\]mysql_real_escape_string\[/manual\] (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
ew. zobacz na ten post: LINK

Co ty za bzdury gadasz.

Tak, to mój kolejny post dzisiaj (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
Czy da się zablokować przyjmowanie przez stronkę komend JS wprowadzane poprzez pasek wyszukiwania w przeglądarce?

Chodzi mi o to, żeby nie działały komendy typu java script:cos=cos; gdyz to powoduje brak bezpieczenstwa danych przetrzymywanych w jakiejkolwiek zmiennej w JS.

Takiego wykonywania javascript nie da sie zablokowac

[dr_bonzo]

Chodzi mi o to, żeby nie działały komendy typu java script:cos=cos; gdyz to powoduje brak bezpieczenstwa danych przetrzymywanych w jakiejkolwiek zmiennej w JS.

To nie powinno ci w niczym przeszkodzic, widocznie masz zle aplikacje napisana, i tak musisz walidowac dane przysylane od usera, nie wazne czy normalnym formem czy JSem.

[Skie]

Tzn. chodzi mi o to, że jeżeli będę wszystkie dane sprawdzał z poziomu PHP to wykorzystanie JavaScript straci trochę sens. Mam robudowany skrypt JS który pobierane dane z pliku w formacie JSON, tworzy z nich obiekt i następnie na tych danych wykonuje pewne operacje. Z danych koncowych wywoluje inny plik PHP z odpowiednimi zmiennymi. Niestety taka zmienna w JS latwo podmienic, a jezeli mialbym w pliku php ponownie sprawdzac czy wszystko jest ok parsujac od nowa caly plik JSON to boje sie ze skrypt stracilby duzo na szybkosci dzialania. A liczy sie kazda 1 ms.

[fernet]

Zawsze wszystkie dane powinienes sprawdzac z poziomu PHP a js ma blokowac zapytanie do serwera zeby chlopak nie musial analizowac kazdej pierdoly ale musi byc na to przugotowany.

Nie wiem czy to ci sie na cos przyda ale z php mozesz sprawdzic skad te dane przychodza i jesli nie przychodza one z wskazanego adresu mozesh zawiesic dzalania skryptu

Ten post edytował fernet 29.08.2008, 17:47:28

[dr_bonzo]

Tzn. chodzi mi o to, że jeżeli będę wszystkie dane sprawdzał z poziomu PHP to wykorzystanie JavaScript straci trochę sens. Mam robudowany skrypt JS który pobierane dane z pliku w formacie JSON, tworzy z nich obiekt i następnie na tych danych wykonuje pewne operacje. Z danych koncowych wywoluje inny plik PHP z odpowiednimi zmiennymi. Niestety taka zmienna w JS latwo podmienic, a jezeli mialbym w pliku php ponownie sprawdzac czy wszystko jest ok parsujac od nowa caly plik JSON to boje sie ze skrypt stracilby duzo na szybkosci dzialania. A liczy sie kazda 1 ms.

No przeciez to bez sensu, patrze jaki request leci, i go podmieniam, i moge wszystko, bo twoj JS ktorego nie wlaczylem nie dziala.

edit:

Nie wiem czy to ci sie na cos przyda ale z php mozesz sprawdzic skad te dane przychodza i jesli nie przychodza one z wskazanego adresu mozesh zawiesic dzalania skryptu

To tez mozna podrobic, latwo.

Ten post edytował dr_bonzo 29.08.2008, 17:58:21

[Skie]

Hmm. Ale czy jest jakaś różnica w pocohdzeniu danych, jeżeli skrypt PHP zostanie wczytany Requestem przez plik JS, aniżeli ktoś wpisze w przeglądarce po prostu np. java script:funkcja(dane) ?

[dr_bonzo]

Nie wazne co robi JS, wazne co wysyla do PHP, te same dane moge sobie wyslac byle czym innym, pomijajac twoje walidacje JSowe.

[Skie]

Czyli nie ma bata i muszę to zrobić w taki sposób, by w JS były funkcje zarządzające plikiem PHP, a sam PHP musiałby sprawdzać czy dana "akcja" jest możliwa dla danego usera.