• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

Sicherheit mit AJAX

J

Jeremygolf

Mitglied
Hallo zusammen,

habe eine kleine Frage um die Sicherheit meines Codes.
Ich erstelle eine Tabelle mit Ajax, die daten aus der Datenbank in die Tabelle einfügt und danach diese Daten bearbeiten kann.
Ich gebe dem AJAX Formular ein URL Parameter für die ID in der Datenbank. Nun könnte man aber dies ID ändern und zugriff auf andere Daten von anderen usern haben.
Wie relisiere ich am besten, dass ich nur auf meine Daten in der datenbank zugreifen kann.
Soll ich bevor ich das JSON format ausgebe eine Abfrage machen ob die Daten mir gehören? Und sonst mit exit();
stoppen?

Ich möchte auch das ich auf der PHP seit die das JSON ausgibt, dass die user das nicht sehen können.

Bitte um ein wenig hilfe danke.
 
Werbung:
Jeremygolf schrieb:
Hallo zusammen,

habe eine kleine Frage um die Sicherheit meines Codes.
Ich erstelle eine Tabelle mit Ajax, die daten aus der Datenbank in die Tabelle einfügt und danach diese Daten bearbeiten kann.
Ich gebe dem AJAX Formular ein URL Parameter für die ID in der Datenbank. Nun könnte man aber dies ID ändern und zugriff auf andere Daten von anderen usern haben.
Wie relisiere ich am besten, dass ich nur auf meine Daten in der datenbank zugreifen kann.
Soll ich bevor ich das JSON format ausgebe eine Abfrage machen ob die Daten mir gehören? Und sonst mit exit();
stoppen?

Ich möchte auch das ich auf der PHP seit die das JSON ausgibt, dass die user das nicht sehen können.

Bitte um ein wenig hilfe danke.
Zum Vergrößern anklicken....
Wie sensible sind denn deine Daten die du aus deiner Datenbank holst? Und was meinst du mit "..machen ob die Daten mir gehören?".

In deiner PHP-Datei kannst du doch einfach abfragen ob ein xmlHTTPRequest erfolgt ist, wenn nicht macht deine Script einfach nichts.
 
nookie schrieb:
Wie sensible sind denn deine Daten die du aus deiner Datenbank holst? Und was meinst du mit "..machen ob die Daten mir gehören?".

In deiner PHP-Datei kannst du doch einfach abfragen ob ein xmlHTTPRequest erfolgt ist, wenn nicht macht deine Script einfach nichts.
Zum Vergrößern anklicken....
Auf meiner website hat es ein user system. Nun sollten die user nur ihre eigenen daten bearbeiten können und nicht noch daten anderer.
Habe es jetzt mal so gemacht:

PHP: 
$data = $this->_db->select("SELECT * FROM rounds WHERE roundid = $roundid");
       
        if($data[0]->userid != $userid) {
            return false;
            exit();
        }
 
Werbung:
Jeremygolf schrieb:
Auf meiner website hat es ein user system. Nun sollten die user nur ihre eigenen daten bearbeiten können und nicht noch daten anderer.
Habe es jetzt mal so gemacht:

PHP: 
$data = $this->_db->select("SELECT * FROM rounds WHERE roundid = $roundid");
      
        if($data[0]->userid != $userid) {
            return false;
            exit();
        }
Zum Vergrößern anklicken....
Du hast doch sicherlich die UserID des eingeloggten Benutzers in einer Session gespeichert. Wenn du damit weiter arbeitest sollte eigentlich nichts passieren.

Außer...
https://www.owasp.org/index.php/Session_hijacking_attack
 
Diesen wird er nicht sehen, wenn du vorher abfragst in deinem PHP Script ob ein xmlHTTPRequest erfolgt ist.
 
Werbung:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Zurück
Oben