Jak bezpiecznie łączyć stronę internetową z bazą danych asynchronicznie?

Question

Witam, jaki jest najlepszy i najbezpieczniejszy sposób na przesyłanie i odbieranie danych z bazy danych? Chciałbym przesyłać dane asynchronicznie, a za pomocą AJAXu chyba nie jest bezpiecznie, ponieważ każdy ma dostęp do JavaScriptu. Chodzi mi o stworzenie jakiejś gry, w której np. po kliknięciu przycisku dostajemy 1 monetę i jest to zapisywane do bazy danych. A za pomocą PHP strona musiałaby się odświeżać, chyba, że by zastosować metody podane tutaj. Ale chciałbym się dowiedzieć, czy nie ma lepszych sposobów.

Comments

A czy masz możliwość użycia TLS-a? Ja osobiście do stworzenia takiej gry użyłbym WebSocket z szyfrowaniem.

Answer 1

@Doge,  Ajax domyślnie jest asynchroniczny btw. 

https://www.cgisecurity.com/ajax-security.html
Generalnie pomyślałbym nad sposobami takimi jak w modelu MVC 
Głównie to podatność na CSFR.
Aby zapobiec atakowi CSRF o krok do przodu, możemy wdrożyć token Anti Forgery 
https://stackoverflow.com/questions/14473597/include-antiforgerytoken-in-ajax-post-asp-net-mvc

Answer 2

A za pomocą PHP strona musiałaby się odświeżać

Nie. Możesz zwyczajnie AJAXem pytać backend, niezależnie czy jest napisany w PHP, dotnecie, Pythonie czy czymkolwiek innym.

Comments

A gdzie mogę się coś o tym dowiedzieć?

---

Ale czego konkretnie? Backend piszesz dokładnie tak samo jak zawsze, może zwracać HTMLa czy JSONa, jak chcesz.