-
Path: news-archive.icm.edu.pl!news.icm.edu.pl!.POSTED!not-for-mail
From: Marek <p...@s...com>
Newsgroups: pl.comp.www
Subject: Re: Problem z bezpieczeństwem danych
Date: Wed, 07 Jan 2015 18:54:35 +0100
Organization: ICM, Uniwersytet Warszawski
Lines: 32
Message-ID: <m8jl4p$t1o$1@news.icm.edu.pl>
References: <m8jaa5$alf$1@news.icm.edu.pl> <m8jbtn$58q$1@news.icm.edu.pl>
<o...@a...home>
NNTP-Posting-Host: 89-69-222-145.dynamic.chello.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: news.icm.edu.pl 1420646361 29752 89.69.222.145 (7 Jan 2015 15:59:21 GMT)
X-Complaints-To: u...@n...icm.edu.pl
NNTP-Posting-Date: Wed, 7 Jan 2015 15:59:21 +0000 (UTC)
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:31.0) Gecko/20100101
Thunderbird/31.3.0
In-Reply-To: <o...@a...home>
Xref: news-archive.icm.edu.pl pl.comp.www:402924
[ ukryj nagłówki ]W dniu 2015-01-07 o 16:41, Jordan Szubert pisze:
>
> może i coś się da wykombinować w tę stronę, ale czemu? jeżeli użytkownik
> ma prawo edytować 1 i 2, to czemu nie akceptować edycji do 1 i 2, a
> odrzucać do 3 niezależnie od tego, czy i kiedy 1 i 2 zostały wysłane do
> użytkownika do oglądania i może edycji?
>
W dobrą stronę kombinujesz. Moją intencją jest ograniczenie do edycji #2
bo nie ma pewności, że użytkownik ma prawo do edycji / wyświetlania /
edycji / itp #1 i #3. Zabezpieczenie realizuję w tym CMS na poziomie
formatki każdego dokumentu. Formatka zawiera wstawione specjalne tagi,
które zastępowane są pracą modułów programowych. Pierwszy z nich zwykle
bada czy dany użytkownik ma prawo do wyświetlenia danej strony - i jeśli
nie, to przekierowuje Na "sorry, nie masz uprawnień". Pozostałe moduły
generują treść itp. Jest tam też JS, który np. pozwala dodawać / usuwać
obrazki. Jeśli z poziomu JS przekażę w Ajaxie polecenie "usuń obrazek #1
z w/w dokumentu #2" to dociera ono do elementu PHP nie związanego z
dokumentem #2 np. ajaxZarzadzaObrazkamiDokumentu.php. Muszę go więc
jakoś poinformować, że grzebiemy ID #2 i mamy skasować w nim obrazek #1.
No i jeśli teraz ktoś podmieni w przeglądarce to co Ajax ma wysłać, to
może w dowolnym innym dokumencie skasować obrazek #1. Musiałbym dublować
walidację uprawnień w PHP, czego wolałbym uniknąć. Dlatego byłoby
sensownie "niejawnie" poinformować w/w plik PHP, że działa w kontekście
dokumentu #2.
Szukam najprostszego rozwiązania.
--
Pozdrawiam,
Marek
Następne wpisy z tego wątku
- 07.01.15 20:13 Borys Pogoreło
- 07.01.15 23:42 Marek
- 08.01.15 21:28 Marek
Najnowsze wątki z tej grupy
- Jakie znacie działające serwery grup dyskusyjnych?
- is it live this group at news.icm.edu.pl
- php, linki z nazwami a $_GET, SEO
- www polityka pl captcha
- dyktatura brudnego palucha
- www.znanylekarz.pl
- Czy pytanie o sczytywanie stron programami/skryptami to tu?
- Grupy webdevowe
- Jak wydrukować stronę?
- IIS, kilka witryn
- linki <a href="/strona.php"> (ze slashami)
- co rozszerza stronę??
- responsywny akapit <p>
- Czy istnieje jakiś emulator przeglądarek pod Mac'a?
- taka sama konfiguracja dla localhost i produkcji
Najnowsze wątki
- 2024-11-24 Aby WKOOOORWIĆ ekofaszystów ;-)
- 2024-11-22 OC - podwyżka
- 2024-11-22 wyszedł z domu bez buta
- 2024-11-22 Bieda hud.
- 2024-11-24 DS1813-10 się psuje
- 2024-11-23 Białystok => Inżynier bezpieczeństwa aplikacji <=
- 2024-11-23 Szczecin => QA Engineer <=
- 2024-11-23 Warszawa => SEO Specialist (15-20h tygodniowo) <=
- 2024-11-22 Warszawa => Kierownik Działu Spedycji Międzynarodowej <=
- 2024-11-22 Warszawa => Senior Account Manager <=
- 2024-11-22 Warszawa => Key Account Manager <=
- 2024-11-22 Warszawa => DevOps Specialist <=
- 2024-11-22 Kraków => IT Expert (Network Systems area) <=
- 2024-11-22 Warszawa => Infrastructure Automation Engineer <=
- 2024-11-22 Warszawa => Presales / Inżynier Wsparcia Technicznego IT <=