 Aby nikt nie wrzucił bezpańskich komentarzy, czyli niepowiązanych z żadnym elementem |
| Aby nikt nie wrzucił bezpańskich komentarzy, czyli niepowiązanych z żadnym elementem |
  25.09.2008, 15:01:57
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 375 Pomógł: 20 Dołączył: 28.07.2006 Ostrzeżenie: (0%) 
 |
Jak ochronić skrypt przed dodawaniem komentarzy niepowiązanych z żadnym elementem (artykułem, plikiem, itd.)?
Jest 5 typów kategorii (choć może ich być więcej): artykuły, pliki, newsy, zdjęcia i linki. To by nie sprawiło problemu, bo informacje o strukturze typów (np. nazwa tabeli w bazie danych) przechowuję w pliku .ini. ALE: Można też komentować inne elementy (np. sondę, użytkownika, wolną stronę, inny dowolny moduł), które mogą mieć całkiem inną strukturę. Po prostu komponent komentarzy jest dostępny dla innych modułów. Aktualnie komentarze można edytować na osobnej podstronie. W adresie URL są przekazywane parametry: * typ elementu - numeryczny, np. 1 dla artykułu, 10 dla użytkownika, itd. * ID elementu - numeryczny Uprawnieni mogą edytować lub usuwać komentarze. Wtedy w adresie URL podajemy tylko ID komentarza. Złośliwy internauta może podmienić te wartości w formularzu za pomocą narzędzia Firebug. W ten sposób system doda komentarz, który nie jest powiązany z żadnym elementem. Stąd pytanie - jak chronić się przed takim atakiem? @nexis: tylko jak mam sprawdzić, czy komentarz będzie miał powiązanie? Ten post edytował WebCM 25.09.2008, 15:17:17 -------------------- „Jesteśmy różni, pochodzimy z różnych stron Polski, mamy różne zainteresowania, ale łączy nas jeden cel. Cel ten to Ojczyna, dla której chcemy żyć i pracować.” Roman Dmowski
|
 |
 
|
WebCM Aby nikt nie wrzucił bezpańskich komentarzy 25.09.2008, 15:01:57 
nexis W adresie powinieneś przekazać jedynie ID, bo wszy... 25.09.2008, 15:13:41 
WebCM Tylko jak mam sprawdzić, czy komentarz będzie miał... 26.09.2008, 21:10:57   |
|
Wersja Lo-Fi | Aktualny czas: 14.08.2025 - 01:08 |
