Ladda in kod från fil eller hårdkoda in i koden

PHPportalen Forum Index » Diskutera webbutveckling
Lägg ett bokmärke på hela tråden
Skapa nytt inlägg   Svara på inlägget
Visa föregående ämne :: Visa nästa ämne  
Startad av: Meddelande
qulle



Medlem i: 1155 dagar

Status: Offline



#741108
Inlägg Skrivet: 2016-10-10 14:43      Ämne: Ladda in kod från fil eller hårdkoda in i koden Citera

Hej

Om man har en popupruta som kan användas för att besvara frågor, visa bilder, visa innehåll, varningar eller meddelanden i allmänt. Hur skulle ni gå till väga för att ladda in det som skall visas i rutan på ett säkert och smidigt vis.

Ska man göra en jquery .load() och ha filer med kod upplagda i en mapp för detta. Hur skyddar man då detta från direkt access i url... htaccess filen #deny from all ?

eller

Ska man hårdkoda in i ex. javascript filen att man vill ersätta innehållet i popuprutan med t.ex. .html("innehåll")

/ Q
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4625 dagar
Från: Tavesta
Status: Offline



#741113
Inlägg Skrivet: 2016-10-11 00:59      Ämne: Citera

På den första frågan, hur man skyddar mot direkt access så tror jag nog det enkla svaret är att man inte behöver skydda mot det.
Så länge det inte publiceras några länkar kommer ingen se koden av misstag, och om man försöker trixa så är man nog medveten om att man kommer få se irrelevanta meddelanden.
Om det finns några säkerhetsproblem med en direkt access så bör man nog tänka om.
Allt som skrivs i javascript kan manipuleras av en besökare med rätt kunskap och verktyg.

Om det handlar om korta meddelanden så tycker jag nog jquery.load() är onödigt omständigt. Men om det handlar om längre texter som visas i många olika sammanhang kan det kanske vara en bra lösning.

Men bara för att du bäddar in meddelandet i javascriptet så betyder inte det att det måste vara helt hårdkodat. Det går t.ex bra att föra över php-data till javascript med hjälp av json_encode().
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
qulle



Medlem i: 1155 dagar

Status: Offline



#741114
Inlägg Skrivet: 2016-10-11 08:47      Ämne: Citera

Okej, i det här fallet behöver det vara relativt hög säkerhet. (Vill alltid bygga så säkert som möjligt)

Hur skulle du bygga då för att göra det så säkert som möjligt.

Ett exempel på vad jag vill göra är:

På min sida har jag en lista över användare med en knapp för möjlighet att ta bort användaren om man är admin.

Om man klickar på ta bort kommer popuprutan upp och frågar om man vill ta bort användaren.
Då bör ju ett formulär ha lagts till i pupuprutan och om man där tryckar ja för att ta bort anropas en ajax/php funktion som ta bort användaren, och returnerar ett meddelande om användare togs bort eller eventuellt felmeddelande tillbaka till popuprutan.

Mycket säkerhet ligger ju i php filen som tar bort användaren, men som sagt vill jag försöka göra själva processen att i detta fall lägga till forumläret i popuprutan så bra som möjligt.
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4625 dagar
Från: Tavesta
Status: Offline



#741115
Inlägg Skrivet: 2016-10-11 11:53      Ämne: Citera

Se till att du har komplett säkerhet i dina php-skript. Om de är rätt utformade kan säkerheten där inte åsidosättas av en trixande besökare.

Html-koden och javascripten är mest till för att göra det enkelt och bekvämt för besökaren, så besökaren inte gör fel av misstag.
En trixande besökare kan byta ut vad hen vill av det som körs i webbläsaren.

I fallet med ta-bort-användare-funktionen så måste absolut php-delen av funktionen som verkligen gör själva borttagandet även kontrollera att det verkligen är admin som anropar funktionen.
Om admin trixar med koden så gör man det bara svårt för sig i onödan, eller så har man drabbats av javascript/html-injection. Och sådant måste man absolut skydda sig mot.
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Visa tidigare inlägg:   
Skapa nytt inlägg   Svara på inlägget
PHPportalen Forum Index » Diskutera webbutveckling
Hoppa till:  
Du kan inte skapa nya inlägg i det här forumet
Du kan inte svara på inlägg i det här forumet
Du kan inte ändra dina inlägg i det här forumet
Du kan inte ta bort dina inlägg i det här forumet
Du kan inte rösta i det här forumet
Du kan inte bifoga filer i detta forum
Du kan inte ladda ner filer från detta forum
Kontakta oss på adressen: info@phpportalen.net
Webbplatsen bygger i grunden på phpBB © 2001, 2002 phpBB Group

Modifieringar har senare gjorts i systemet av PHPportalen
Sid och logotypdesign skapad av Daren Jularic