-
Path: news-archive.icm.edu.pl!news.icm.edu.pl!.POSTED!not-for-mail
From: Marek <p...@s...com>
Newsgroups: pl.comp.www
Subject: Re: Problem z bezpieczeństwem danych
Date: Wed, 07 Jan 2015 18:54:35 +0100
Organization: ICM, Uniwersytet Warszawski
Lines: 32
Message-ID: <m8jl4p$t1o$1@news.icm.edu.pl>
References: <m8jaa5$alf$1@news.icm.edu.pl> <m8jbtn$58q$1@news.icm.edu.pl>
<o...@a...home>
NNTP-Posting-Host: 89-69-222-145.dynamic.chello.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: news.icm.edu.pl 1420646361 29752 89.69.222.145 (7 Jan 2015 15:59:21 GMT)
X-Complaints-To: u...@n...icm.edu.pl
NNTP-Posting-Date: Wed, 7 Jan 2015 15:59:21 +0000 (UTC)
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:31.0) Gecko/20100101
Thunderbird/31.3.0
In-Reply-To: <o...@a...home>
Xref: news-archive.icm.edu.pl pl.comp.www:402924
[ ukryj nagłówki ]W dniu 2015-01-07 o 16:41, Jordan Szubert pisze:
>
> może i coś się da wykombinować w tę stronę, ale czemu? jeżeli użytkownik
> ma prawo edytować 1 i 2, to czemu nie akceptować edycji do 1 i 2, a
> odrzucać do 3 niezależnie od tego, czy i kiedy 1 i 2 zostały wysłane do
> użytkownika do oglądania i może edycji?
>
W dobrą stronę kombinujesz. Moją intencją jest ograniczenie do edycji #2
bo nie ma pewności, że użytkownik ma prawo do edycji / wyświetlania /
edycji / itp #1 i #3. Zabezpieczenie realizuję w tym CMS na poziomie
formatki każdego dokumentu. Formatka zawiera wstawione specjalne tagi,
które zastępowane są pracą modułów programowych. Pierwszy z nich zwykle
bada czy dany użytkownik ma prawo do wyświetlenia danej strony - i jeśli
nie, to przekierowuje Na "sorry, nie masz uprawnień". Pozostałe moduły
generują treść itp. Jest tam też JS, który np. pozwala dodawać / usuwać
obrazki. Jeśli z poziomu JS przekażę w Ajaxie polecenie "usuń obrazek #1
z w/w dokumentu #2" to dociera ono do elementu PHP nie związanego z
dokumentem #2 np. ajaxZarzadzaObrazkamiDokumentu.php. Muszę go więc
jakoś poinformować, że grzebiemy ID #2 i mamy skasować w nim obrazek #1.
No i jeśli teraz ktoś podmieni w przeglądarce to co Ajax ma wysłać, to
może w dowolnym innym dokumencie skasować obrazek #1. Musiałbym dublować
walidację uprawnień w PHP, czego wolałbym uniknąć. Dlatego byłoby
sensownie "niejawnie" poinformować w/w plik PHP, że działa w kontekście
dokumentu #2.
Szukam najprostszego rozwiązania.
--
Pozdrawiam,
Marek
Następne wpisy z tego wątku
- 07.01.15 20:13 Borys Pogoreło
- 07.01.15 23:42 Marek
- 08.01.15 21:28 Marek
Najnowsze wątki z tej grupy
- Jakie znacie działające serwery grup dyskusyjnych?
- is it live this group at news.icm.edu.pl
- php, linki z nazwami a $_GET, SEO
- www polityka pl captcha
- dyktatura brudnego palucha
- www.znanylekarz.pl
- Czy pytanie o sczytywanie stron programami/skryptami to tu?
- Grupy webdevowe
- Jak wydrukować stronę?
- IIS, kilka witryn
- linki <a href="/strona.php"> (ze slashami)
- co rozszerza stronę??
- responsywny akapit <p>
- Czy istnieje jakiś emulator przeglądarek pod Mac'a?
- taka sama konfiguracja dla localhost i produkcji
Najnowsze wątki
- 2024-11-08 Szczecin => Key Account Manager (ERP) <=
- 2024-11-08 Białystok => Full Stack web developer (obszar .Net Core, Angular6+) <
- 2024-11-08 Wrocław => Senior PHP Symfony Developer <=
- 2024-11-08 Warszawa => QA Engineer <=
- 2024-11-08 Warszawa => QA Inżynier <=
- 2024-11-08 Warszawa => Key Account Manager <=
- 2024-11-08 Gdańsk => Software .Net Developer <=
- 2024-11-08 Akumulator Hyundai
- 2024-11-08 Warszawa => Manager/Specialist e-commerce (B2C) <=
- 2024-11-08 Gdańsk => Specjalista ds. Sprzedaży <=
- 2024-11-08 Gdańsk => Kierownik Działu Spedycji Międzynarodowej <=
- 2024-11-08 znaj podstawe
- 2024-11-08 Chrzanów => Specjalista ds. public relations <=
- 2024-11-08 Warszawa => Data Scientist / Data Engineer (predictive modelling) <=
- 2024-11-08 zbrojone wężyki hamulcowe