Autocompete, Ukrycie danych Opcje

[Ryder]

Witam,

Mam pytanie odnośnie skryptów "autocompete".
Do tej pory korzystałem z http://bassistance.de/jquery-plugins/jquer...n-autocomplete/

Chcialbym zrobić podpowiadanie nazwy użytkownika przy tworzeniu wiadomości.
Skrypt działa w ten sposób, że dostarczam mu plik z listą użytkowników (json.)

Ale, jeżeli wpiszę w przeglądarce nazwę pliku żródłowego (http://nazwastrony.pl/users.php) to wyświetla się lista użytkowników - Chciałbym tego unikąć.

Pytanie, czy można jakoś zabezpieczyć plik, aby nie był dostępny po wpisaniu w pole adresu przeglądarki.
Czy muszę skorzystac z innego rozwiązania (Ajax?) lub innego skryptu jQuery?


Przykładowy skrypt:

[HTML] pobierz, plaintext 
<script type="text/javascript">
$(function() {
	function format(mail) {
		return mail.name + " &lt;" + mail.to + "&gt";
	}
	$("#email").autocomplete('users.php', {
		multiple: true,
		dataType: "json",
		parse: function(data) {
			return $.map(data, function(row) {
				return {
					data: row,
					value: row.name,
					result: row.name + " <" + row.to + ">"
				}
			});
		},
		formatItem: function(item) {
			return format(item);
		}
	});
});
</script>
[HTML] pobierz, plaintext 

[skowron-line]

http://davidwalsh.name/detect-ajax
sprawdz nagłówek żądania

[nospor]

Czy muszę skorzystac z innego rozwiązania (Ajax?) lub innego skryptu jQuery?

Przecież ten autocomoplete korzysta właśnie z AJAX.... wiec zamienienie tego na AJAX nic ci nie da....

Do rzeczy: to normalne, że skoro przeglądarka ma dostęp do jakiegoś skryptu php, to znaczy ze ma do niego dostęp i że można się do niego dobraż w każdym momencie. Nic na to nie poradzisz. Skoro coś jest dostępne to jest i koniec kropka. Rozwiązanie podane przez skowrona to żadne rozwiązanie, bo jak ktos będzie chciał się do tego dobrać, to bez żadnego problemu to zrobi, przez podmiane nagłówków.

Wniosek: w ogóle na to nie patrz, że możesz tę listę miec przez wpisanie przez adres w przeglądarce. Skoro ajax może miec, to i normalnie przeglądarka może mieć. To nie jest problem.

[markonix]

Po prostu zamiast generowania całej listy ajaxem zrób zapytanie - LIKE 'LITERA%' - bo chyba teraz Ci tego brakuje.
To dużo nie zmienia - wywołanie ręcznie linku też wyświetli listę choć ograniczoną pierwszymi znakami.
Połączyłbym to ze wspomnianym skryptem weryfikującym nagłówek i teraz tylko jak bardzo komuś będzie bardzo zależało to będzie się męczył ze stworzeniem listy użytkowników na podstawie tego skryptu.

Poza tym taka lista nicków to żadne krytyczne dane.

Ten post edytował markonix 11.02.2013, 08:37:17

[nospor]

Poza tym taka lista nicków to żadne krytyczne dane.

A co za różnica czy to lista nicków czy lista loginów z hasłami? Skoro koleś je udostępnia dla danej osoby, znaczy że osoba ma prawo to widzieć, niezależnie czy robi to ajaxem czy bezpośrednio wpisując adres w przeglądarce

[Ryder]

Dzięki za odpowiedzi.

A co za różnica czy to lista nicków czy lista loginów z hasłami? Skoro koleś je udostępnia dla danej osoby, znaczy że osoba ma prawo to widzieć, niezależnie czy robi to ajaxem czy bezpośrednio wpisując adres w przeglądarce

Udostepniać tych danych nie chcę. Chce ułatwić tworzenie nowej wiadomości, tak aby użytkownik mógł łatwo i szybko wybrać osobę do której chce odpowiedzieć.

Posprawdzałem jak jest to rozwiązane na popularnych portalach.

Wynika z tego, że najlepszym rozwiązaniem jest nie wyświetlać pełnej listy użytkowników, a tylko np. znajomych, bez adresu email.
Wtedy jeżeli ktoś np. chciałby pobrać dane użytkowników wraz z mailami w celu np. spamowania, to będzie miał tylko loginy i tylko swoich znajomych.

Ten post edytował Ryder 11.02.2013, 10:52:37

[nospor]

Udostepniać tych danych nie chcę. Chce ułatwić tworzenie nowej wiadomości, tak aby użytkownik mógł łatwo i szybko wybrać osobę do której chce odpowiedzieć.

Czyli udostępniasz. Skoro więc dana osoba, może widzieć konkretne dane przez ajax, to i naprawdę nie ma problemu, że może je zobaczyć wpisując bezpośredni adres w przeglądarce

[Ryder]

Tak, zgadzam się.

Tylko ograniczyłem ta listę do znajomych, bez maili.
Nie pobieram przez parametr z linku, tylko wyświetlam w pliku (po session), żeby nie dało się wpisywać rożnych id i pobierac dla różnych użytkowników.

[nospor]

Nie pobieram przez parametr z linku, tylko wyświetlam w pliku (po session), żeby nie dało się wpisywać rożnych id i pobierac dla różnych użytkowników.

No i doborze. Aczkolwiek sądziłęm, że masz tak zrobione od samego początku Skoro nie miałeś, to nic dziwnego że było dla Ciebie problemem, że ktoś w przeglądarke mógł podać linka. No ale to była wina po Twojej stronie, którą już widzę poprawiłeś