Autor | Zpráva | ||
---|---|---|---|
luma64 Profil |
#1 · Zasláno: 27. 8. 2020, 15:51:58
Pozdravujem ! Keď mám php kód, kde volám nejakú url a odovzdávam jej parameter napr:
<td><INPUT TYPE='button' VALUE='TEST' ONCLICK='window.open('zoznam.php?id=2')'/></td> |
||
Keeehi Profil |
#2 · Zasláno: 27. 8. 2020, 15:57:06
luma64:
Ne |
||
luma64 Profil |
#3 · Zasláno: 27. 8. 2020, 16:08:18
To znamená, že keď sa užívateľ korektne s overením svojho prístupu dostane do stránky, môže si zobraziť zdrojový kód stránky a takýto url sa mu zobrazí. Potom môže skúšať takýto link spúšťať v prehliadači a priraďovať nejaké id a snáď sa podarí spustiť niečo k čomu sa nemá dostať ?
|
||
Ikki Profil |
#4 · Zasláno: 27. 8. 2020, 17:27:38
luma64:
Právě z toho důvodu přeci to ověření děláme, nebo se mýlím? |
||
Keeehi Profil |
#5 · Zasláno: 27. 8. 2020, 23:41:54
luma64:
„Potom môže skúšať takýto link spúšťať v prehliadači a priraďovať nejaké id a snáď sa podarí spustiť niečo k čomu sa nemá dostať ?“ Pokud je tvá jediná ochrana to, že je ta URL tajná a doufáš že na ní nikdo nepřijde, pak ano. Může tu URL uhodnout a pak spustit něco co by neměl. Proto se to tak samozřejmě nedělá. Respektive na začátku, než se cokoli vykoná si zkontroluješ, že daný uživatel má oprávnění tu akci vykonat. Pokud ne, bude nejlepší mu poslat 401 Unauthorized. Pokud oprávnění má, tak akci vykonáš. |
||
luma64 Profil |
Vďaka ! Najlepšie je teda vypustiť prenášanie cez url a prenášať parametre cez session.
|
||
Časová prodleva: 4 roky
|
0