- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Опасаюсь: у меня есть несколько аякс выполнений. Где например человек чтото вводит в инпут, аякс забирает это значение и переправляет в файл который записывает это в базу или например удаляет это с базы. Тоесть если ктото может получить доступ к этому исполняющему файлу то он может вносить и удалять из базы все что угодно.
Прошу извинить, при аяксе я форм не использую просто инпуты, селекты. Я про форму написал для примера.
А что мешает удалять всё что угодно через инпут? Значит у вас фильтр в аяксе, то есть на стороне клиента. Переносите основной фильтр на сторону сервера. На клиенте фильтр должен быть только для удобства пользователя, доверять ему нельзя.
А что мешает удалять всё что угодно через инпут? Значит у вас фильтр в аяксе, то есть на стороне клиента. Переносите основной фильтр на сторону сервера. На клиенте фильтр должен быть только для удобства пользователя, доверять ему нельзя.
Если этот скрипт можно будет выполнить только с определенного места, то я смогу контролировать человека который это делает. К примеру можно сделать чтобы доступ к странице где аякс на удаление был только у модератора. А это значит что удалять сможет только модератор
Если этот скрипт можно будет выполнить только с определенного места, то я смогу контролировать человека который это делает. К примеру можно сделать чтобы доступ к странице где аякс на удаление был только у модератора. А это значит что удалять сможет только модератор
Что мешает на файл обработчик поставить проверку на выполнения только определенным лицам? У вас не совсем правильно построена логика работы. Обработка обязательно должны быть и на стороне сервера.
а если такой вариант .
Если я правильно понял вы просто хотите подстраховаться на будущее.
Предлагаю такой вариант . У вас есть файл 1php и файл 2 php.
файл 2 php ,сохранить на сервере под расширением 2txt.
При начале работы файла 1php из файла 2txt создаёте сгенерированное по именю файл (2 php),
Где нибудь сохраняете название файла.
Где необходимо при работе файла 1php предаёте данные сгенерированному по имени файлу (2 php).
тоесть у вас имя файла (2 php) будет всегда меняться и невозможно будет передать данные минуя файл 1php.
Что мешает на файл обработчик поставить проверку на выполнения только определенным лицам? У вас не совсем правильно построена логика работы. Обработка обязательно должны быть и на стороне сервера.
Это вы не совсем вникли в суть вопроса. Всмысле поставить проверку на выполнение только определенным лицам, каким образом? Если вы имеете в виду chmod то даже если я поставлю все только для рута, то запрос к этому файлу идет от браузера через аякс, а значит он просто не сработает в таком случае вообще.
Это вы не совсем вникли в суть вопроса. Всмысле поставить проверку на выполнение только определенным лицам, каким образом?
В смысле модератора, и таким образом, каким вы определяете пользователя в других местах. Посмотрите у любой кмс как там устроено где есть распределения прав, без никаких "скрытых" путей и файлов. Если файл может быть выполнен напрямую, или он отработает при прямом обращений без его включения в других файлах, должна быть проверка на право выполнением этим пользователем (юзером/гостем/модератором).
Qest, в чем проблемма есть стандартный механизм сессий , зачем изобретать велосипед и развести тему на 4 страницы
В смысле модератора, и таким образом, каким вы определяете пользователя в других местах. Посмотрите у любой кмс как там устроено где есть распределения прав, без никаких "скрытых" путей и файлов. Если файл может быть выполнен напрямую, или он отработает при прямом обращений без его включения в других файлах, должна быть проверка на право выполнением этим пользователем (юзером/гостем/модератором).
Не понял, опишите процедуру такой проверки. Если вы имеете в виду например если пользователь незалогинен то просто даже и не показывать ему этот инпут, то в этом и дело что если я могу напрямую обратиться к исполняющему файлу то как этот исполняющий файл проверит что я незалогинен. Он может проверить только посредством каких то параметров которые я ему передам (GET, POST). А эти параметры я могу отправить вручную
то как этот исполняющий файл проверит что я незалогинен
Таким образом каким вы определяете это в других скриптах. Вам виднее как у вас там устроен механизм авторизации/ауто-авторизации.