Ajax op zich is al beveiliging genoeg?

Status
Niet open voor verdere reacties.

stonedr

Gebruiker
Lid geworden
11 aug 2003
Berichten
104
Hello allemaal,

Ik laat in een shoutbox gebruikers input controleren door javascript, zodat er geen gekke tekens ingevuld kunnen worden ivm sql injection en andere rare code in te voeren?

Mijn Shoutbox werkt met AJAX, dus vind er na iedere validatie een xmthttprequest plaats voor communicatie met de server.

De beveiliging omzeilen is simpel zou je denken, je schakelt gewoon javascript uit...echter wordt niets meer uitgevoerd als de javascript uit staat...Ajax namelijk, geen server request dus.

De ajaX server request werkt met de php POST methode

Is op deze manier het checken van input data voldoende?
( natuurlijk heb ik ook een serverside check gedaan, maar het gaat om het principe.)
 
Laatst bewerkt:
Dus?

Je zou gewoon in de bron van het js kunnen zoeken naar de pagina waar hij de request heen stuurt.

Vervolgens is het dan niet zo moeilijk om zelf daar waardes naar toe te sturen.

Ik neem aan dat je via een GET-methode werkt.

Het is handiger om het server-side gedeelte de injection af te laten vangen.
 
Nee ik werk met een $_POST, vergeten erbij te melden.
Dat van die $_GET had ik natuurlijk wel al door.
 
Ik zou de validatie altijd serverside doen. Het valideren aan de clients kant is alleen maar om het proces te versnellen en overhead te besparen (foute informatie hoeft niet telkens eerst naar de server gestuurd te worden) Maar is dus ook makkelijker te omzeilen.
 
Ik vraag me dan toch heel erg af hoe je het dan zou moeten omzeilen.

Javascript validatie, kan alleen omzeilt worden door javascript uit te zetten.

In combinatie met ajax zorgt dit ervoor dat als je Javascript uitschakeld, de hele server request niet meer werkt . Je kan het php bestand aanroepen, maar niks doen omdat er gewerkt word met een POST methode.

Hoe kan je dan nog "kwaadaardige" code of info doorsturen naar de achterkant?
 
Je kan het php bestand aanroepen, maar niks doen omdat er gewerkt word met een POST methode.
Er bestaan genoeg tools die wel POST-arrays naar pagina's rechtstreeks kunnen versturen, komt gewoon op de correcte request-header terecht...
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan Onderaan