Ajax a konsola w Chrome

Question

Drodzy Forumowicze,

czy to nie jest czasem tak, że jeśli używamy Ajax do wysyłania zapytań do bazy PHP, narażamy się na to, że ktoś "z zewnątrz" używając Chrome i konsoli może dowolnie manipulować zapytaniami? O ile może się domyślić tego, co jest w środku pliku .php. Np ajax wysyłający informacje o logowaniu na stronie itd.

Answer 1

Z tego co mi wiadomo to przeglądarka nie pozwala na jakieś duże modyfikacje requestów. Nawet jeśli to cały sęk w tym, że walidacja i ograniczenia dostępu powinny być po stronie serwera.

Comments

przeglądarka może i nie, ale postman czy inny tego typu client :) albo nawet zwykly curl :)

---

1. Jak już wspomniałem zabezpieczenie po stronie serwera  robi robotę.
2. Który enduser zna cURLa 

---

Który enduser zna cURLa

łoj zdziwiłbyś się ile w dużych aplikacjach jest prób nieautoryzowanego dostępu... :)

---

Wiem bo przeglądam czasem access logi. Widzę ile leci ślepych strzałów o phpMyAdmin, albo o wp-admin. Ale jak się robi dobre backendy to

---

wszystko spoko póki nie budzą Cię alarmy o 2 w nocy i zastanawiasz się o co kaman :)

Answer 2

A czym się różni Ajax od normalnych żądań HTTP? ;) Prawda jest taka, że cokolwiek przelatuje przez sieć, da się tym manipulować. Nawet przy HTTPS można podstawić w lokalnej sieci np. Wiresharka z odpowiednim certyfikatem i po ptokach. Stąd tak ważne jest zabezpieczanie wszystkiego po stronie serwera i walidowanie wszelkich żądań od użytkownika.

Comments

walidowanie wszelkich żądań od użytkownika

100% racji... dodam tylko od siebie i z własnego doświadczenia - trzeba też pilnować aby walidacje client-side pokrywały się z tymi w API... bo czasami może się zdarzyć mały rozjazd :) i nieoczekiwane błędy dla usera... Teoretycznie nie powinno się to zdarzać, ale jak nad projektem pracuje kilka zespołów to różnie to bywa.. i nie zawsze wszystkie mikrousługi się tak do końca dogadują :)