Можно ли подделать передаваемые данные через AJAX

yeaahhh

Старатель
Регистрация
8 Май 2008
Сообщения
278
Реакции
11
Ребят, у меня на сайте очень много асинхр. запросов.
Задался вопросом: а можно ли как-то подделать переменную "logpol", которая принимает значение $aaa['login'] из БД?
HTML:
$.ajax({
type: "POST",
url: "wink.php",
data: "logpol=<?=$aaa['login'];?>",
cache: false,  
success: function(html){ 
alert(html);
}
});
Если да, то как можно обезопаситься от атких постановок?
Заранее спасибо.
 
хешированием логина и сессии.
при изменении логина хеш будет изменяться, надо сравнивать хеши и если хеш разный - то левый запрос.



потому как referer также можно подделать легко.
еще можно данный пример извратить настолько что непонятно будет где что как и куда передается.



Кароче сделать надо так чтобы только один сайт знал какой хеш и с ним работать, а если хеш не правильный то идет попытка взлома. также для таких целей полезно логирование событий.
 
А каким способом можно подставить-то? POST-запрос же.. разве можно менять исходный код страницы?
 
А каким способом можно подставить-то? POST-запрос же.. разве можно менять исходный код страницы?
Конечно. Что firebug и вперед. Можно и страницу у себя сохранить, подделать данные и отправлять их на сервер. Но, если отправлять через аякс post, не с того домена, то запрос может не пройти.

А так, через firebug все запросы удачно можно просмотреть и ответы на них.
 
Кстати, вашем случае, если вы передаете данные идентифицированного пользователя в запросе использовал данный из аутентификации, а не то, что он передает.
Если передается, например, комментарий от пользователя — вам нужно лишь передавать сам текст и id топика куда идёт коммент. id пользователя нужно брать из сессии.
 
Назад
Сверху