سوال: بالا بردن امنیت صفحه php که با jquery اطلاعات رو دریافت و ارسال میکنه ؟ [بایگانی]

xcodex

چهارشنبه 25 اردیبهشت 1392, 10:42 صبح

با سلام خدمت دوستان و برنامه نویسان محترم .

موضوع از این قرار هست که من یه پیج دارم که با jquery و متد post اطلاعات یه پیج php رو به صورت JSON دریافت میکنه و به صورت منو یا گرید نمایش میده

پیج php اطلاعات رو echo میکنه و jquery دریافت میکنه.

حالا من وقتی مستقیم به پیج php میرم اطلاعات echo شده رو نمایش میده با فرمت JSON .

راهی پیشنهاد بدید دوستان که مستقیم نشه به اطلاعات پیج php دسترسی پیدا کرد و فقط از طریق همین jquery بشه این کار رو کرد.

یا بهتره یه جور دیگه سوال رو مطرح کنم. آیا راه بهتری هست برای بالا بردن امنیت یا خیر.

ممنون میشم دوستان راهنمایی کنند.

یا حق

siavashsay

چهارشنبه 25 اردیبهشت 1392, 10:55 صبح

هیچ راهی نیست که jQuery بتونه اجرا کنه و کاربر نتونه اون کار رو بکنه !
به هر حال jQuery - Java سمت کلاینت هست و همه چیش برای کاربر رو هست و میتونه ببینه !
اما از نظر امنیتی مشکلی برایتون نیست ! حالا مثلا کاربر اونا دیتا رو ببینه ! چی میشه ؟! مگر توی نمایش گرید شما اون دیتا دیده نمیشه ؟!
به هرحال دنبال حالت خاصی نباشید که بشه اینکارو کرد ! هر ترفندی هم بزنید باز هم میشه اون رو کرد !

xcodex

چهارشنبه 25 اردیبهشت 1392, 16:19 عصر

اوکی دوست عزیز البته شما درست میفرمایید .

java script سمت کلاینت هست.

خود پیج php رو میشه محدود کرد ولی سمت کلاینت رو نمیشه.

ممنون از پاسختون

siavashsay

چهارشنبه 25 اردیبهشت 1392, 16:41 عصر

خواهش میکنم ! :)

abolfazl-z

چهارشنبه 25 اردیبهشت 1392, 18:19 عصر

سلام دوست من

اما از نظر امنیتی مشکلی برایتون نیست ! حالا مثلا کاربر اونا دیتا رو ببینه ! چی میشه ؟! مگر توی نمایش گرید شما اون دیتا دیده نمیشه ؟!
صد در صد ایشون درست میگن. چون من هم یک زمانی دنبال این بودم و با خودم درگیر بودم.ولی باز هم در هر صورتی نمیشه.

ولی یک راه هست که کاربران عادی(نه حرفه ای ها) اگر وارد چنین صفحه ای شدن ریدایرکت بشن به صفحه اصلی و اونم این هست که در اون صفحه مقدار چک بشه که ست شده یا نه و اقدامات لازم رو انجام بدهید.

siavashsay

چهارشنبه 25 اردیبهشت 1392, 19:58 عصر

البته من یک راه دیگه هم دارم !
اونم اینه که یک تابع هش ( البته دست ساز - نه توابع موجود ) ساخته شه که توی هر بار یک رشته جدید رو از یک متغیر ثابت تولید کنه + مقدار هش شده زمان جاری ( همون لحظه ای که پست با جی کوئری فرستاده میشه )
اینا باهم میکس میشن یک مقدار هش شده رو تولید میکنن ( یک مقدار ثابت + زمان که متغیر هست که باید تو سشن ریخته شه و چک بشه با مقدار موجود هش شده )
بعد اگر درست بود مقدار مورد نیاز تولید شه ( چاپ شه )
این قضیه خوبیش اینه که کاربر نمیتونه مقدار ثابت رو به راحتی بدست بیاره و اگرم بدست آورد بازم نمیتونه اون رو اجرا کنه چون به زمان همون لحظه که توسط سشن ساخته میشه نیاز داره !
یه خورده پیچیده هست اما شدنیه :)

xcodex

چهارشنبه 25 اردیبهشت 1392, 21:24 عصر

البته من یک راه دیگه هم دارم !
اونم اینه که یک تابع هش ( البته دست ساز - نه توابع موجود ) ساخته شه که توی هر بار یک رشته جدید رو از یک متغیر ثابت تولید کنه + مقدار هش شده زمان جاری ( همون لحظه ای که پست با جی کوئری فرستاده میشه )
اینا باهم میکس میشن یک مقدار هش شده رو تولید میکنن ( یک مقدار ثابت + زمان که متغیر هست که باید تو سشن ریخته شه و چک بشه با مقدار موجود هش شده )
بعد اگر درست بود مقدار مورد نیاز تولید شه ( چاپ شه )
این قضیه خوبیش اینه که کاربر نمیتونه مقدار ثابت رو به راحتی بدست بیاره و اگرم بدست آورد بازم نمیتونه اون رو اجرا کنه چون به زمان همون لحظه که توسط سشن ساخته میشه نیاز داره !
یه خورده پیچیده هست اما شدنیه :)

دقیقا

منم داشتم به همین فکر میکردم. :متفکر:

میدونم کار نشد نداره!!

دارم روش کار میکنم ببینم چی میشه.

ممنون از دوستان . خیلی کمک کردین. خیلی دوست دارم عضو یه تیم قوی باشم بتونم زودتر پیشرفت کنم.

بازم ممنون

سلام دوست من

صد در صد ایشون درست میگن. چون من هم یک زمانی دنبال این بودم و با خودم درگیر بودم.ولی باز هم در هر صورتی نمیشه.

ولی یک راه هست که کاربران عادی(نه حرفه ای ها) اگر وارد چنین صفحه ای شدن ریدایرکت بشن به صفحه اصلی و اونم این هست که در اون صفحه مقدار چک بشه که ست شده یا نه و اقدامات لازم رو انجام بدهید.

ممنون از شما بله راه هست ایشالا بشه ردیفش کرد.