Безопасность ajax запросов

Статус
В этой теме нельзя размещать новые ответы.

Raccoon

Участник
Регистрация
31 Июл 2007
Сообщения
176
Реакции
9
Добрый день.

Возник вопрос по работе с аякс запросами, допустим посылаем мы запрос серверу вроде

var commentId = 45;

$.ajax({
type: "GET",
url: "ajax/comment/delete/,
data: { comment: commentId}
...

Юзер же может подделать запрос и удалить коммент соседа, введя там 46, 47, 48 и так далее. Как идентифицировать пользователя? Ведь сессии нет.

Кроме как передавать какой-нибудь personal-key вроде md5 в голову не приходит.
Ну или направлять запрос на страницу, которая в общей структуре MVC, где работают сессии, и разруливать конструкцией вида

if($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest') {
аякс код
} else { PHP код }
 
я разруливаю с помощью куков, на основе куков, привязанных к сессиям.
 
Как-то это не практично разруливать авторизацию с помощью клиента.
 
Естественно, что твой ajax скрипт должен инклудить файл, где есть session_start() (то есть это может сделать только member), а сам запрос удаления записей строить таким образом, чтобы в них участвовал userID пользователя, взятый из сессии - то есть удалить записи где ид записей IN 47,48,49 и где ид юзера равен userID
 
Все понял, надо просто в общей структуре MVC сделать файл типа ajax.php, который будет отрабатывать запросы Яакса, но при этом будет жить в сессии, а я сначала делал в отдельную папку /ajax/ складывал скрипты и к ним обращался по отдельности.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху