| Autor | Zpráva | ||
|---|---|---|---|
| Luksa Profil * |
#1 · Zasláno: 22. 11. 2009, 12:08:16
Ahoj, vytvarim diskuzi kde bude moci prihlaseny uzivatel mazat sve prispevky (zobrazi se mu vedle prispevku odkaz smazat). Mam to vymyslene tak, ze po kliknuti na smazat se mi do URL metodou GET vlozi ID prispevku. Je to dobre reseni nebo malo bezpecne? (nekdo zmeni ID v URL a smaze se jiny prispevek). Dekuji
|
||
| Taps Profil |
#2 · Zasláno: 22. 11. 2009, 12:17:44
Luksa:
Ještě bude lepší když bude kontrolovat i vlastníka příspěvku při operaci smazání |
||
| Alphard Profil |
#3 · Zasláno: 22. 11. 2009, 12:46:42
Get lze podvrhnout snadno, post obtížněji, to je vše. Zabezpečení musí (by mělo být) mnohem důkladnější. Kromě kontroly vlastníka příspěvku by mělo být kontrolováno i to, jestli požadavek na akci pochází skutečně od daného uživatele (zvláště, pokud tam má někdo moderátorská práva smazat vše).
Viz PHP triky - Cross-Site Request Forgery |
||
| Luksa Profil * |
#4 · Zasláno: 22. 11. 2009, 12:53:20
1) Pokud bude moci prispevky mazat pouze admin stranek (odkaz smazat se zobrazi pouze jemu, tak to snad nebezpecne neni).
2) Jak nahradit metodu GET metodou POST kdyz se jedna o odkaz? <?php echo "<a href=\"?id=$id\">Smazat</a>"; |
||
| Alphard Profil |
#5 · Zasláno: 22. 11. 2009, 13:04:31
Luksa:
„2) Jak nahradit metodu GET metodou POST kdyz se jedna o odkaz?“ Když pominu řešení závislá na javascriptu, zbývá asi jen formulář a tlačítko nastylované jako odkaz. |
||
|
Časová prodleva: 14 let
|
|||
0