[PHP][AJAX] Logowanie alternatywne, W przypadku włączonego lub wyłaczonego JS Opcje

[Mephis]

Witam.

Nie wiedziałem za bardzo w którym dziale napisać ten temat, przepraszam za ewentualny kłopot.

Na stronie chciałbym zrobić logowanie przy pomocy AJAX. Z samym logowaniem problemu nie ma. Problem zaczyna się, gdy użytkownik ma wyłączoną obsługę JavaScript - albowiem uniemożliwia to logowanie. Pozostawiam więc Ajaxa jak i cały JS tylko w celu zachowania na stronie dynamiki i ewentualnie dodatkowych 'efektów graficznych' interfejsu (jQueru) użytkownikom, którzy mają włączone JS. Cała reszta będzie się mogła obejść i bez tego.

Została sama kwestia logowania w sposób dynamiczny czy też nie. Pierwsze co wpadło mi do głowy, to:
- do formularza, z którego będzie logował się użytkownik, dodać niewidoczne pole typu hidden z domyślną wartością "noajax".

[HTML] pobierz, plaintext 
<input type="hidden" value="noajax" id="action" name="action" />
[HTML] pobierz, plaintext 

- w skrypcie js, dodać do danych POST zmienną "action" z wartościa "ajax"

[HTML] pobierz, plaintext 
var string = '&login=' + login + '&password=' + password + '&action=ajax';
[HTML] pobierz, plaintext 

Działanie jest proste - wprzypadku braku js, zmienna action wyśle się jako "noajax". W przeciwnym wypadku zmienna ta zostanie zastąpiona przy pomocy JS na wartość "ajax". Jestem świadomy możliwości manipulacji polem action w formularzu i doprowadzenia do "rzekomego" dynamicznego logowania.

W ten sposób, mogę sprawdzić w skrypcie PHP, jakim sposobem wysłano formularz. Pytanie mam następujące:
czy takie rozwiązanie jest bezpieczne i jakie jest na to bardziej profesjonalne rozwiązanie?

Ten post edytował Mephis 13.11.2014, 08:03:24

[Pyton_000]

A na co ? Przecież dynamicznie i statycznie odwołujesz się do tego samego skryptu logowania.
Jak robisz ajaxem to robisz zapewne preventDefault, potem obsługa, pierdoły, animacje itp.

Jak robisz ręcznie wciskasz "Loguj" i tyle.
A w PHP sprawdzasz czy przyszedł AJAX:

[PHP] pobierz, plaintext 
if(!empty($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') {
}
[PHP] pobierz, plaintext 

i robisz albo redirect albo die;

[Mephis]

Owszem, skrypt logowanie jest ten sam. W nim stawiam warunek czy $_POST['action'] jest "ajax" lub "noajax". W przypadku ajax, ze skryptu logowania wypuszczam dane przez "echo json_encode($dane);", zaś w przypadku noajax, muszę zainicjować komunikat o ewentualnym błędzie i zrobić przekierowanie do strony z logowaniem.

Z tego co rozumiem, ten warunek mam wstawić zamiast sprawdzenia czy 'action' jest 'ajax' i żadne 'action' nie jest mi już potrzebne?

[Pyton_000]

dokładnie tak Choć i to ma swoje wady ponieważ czasami serwer nie obsługuje tego nagłówka :|