Как защитить запрос от изменения?

Question

lUser L @thisuserhatephp

Офлайн - losers Онлайн - lusers

PHP

Как защитить запрос от изменения?

Как защититься от изменение запроса.
Например есть вот

такой

блок с data-id он отправляет в базу id и выводит запись. Но если пользователь изменит его через код-элемента например id 274 на 666 то выведется запись 666. Как сделать так, что бы запрос выводил 274 а не 666
В интернетах это называется CSRF но на большинство сайтов пишут про уязвимость и про то, что мол очень серьезно а не то как ее предотвратить

Вопрос задан более трёх лет назад
128 просмотров

6 комментариев

Подписаться 1 Простой 6 комментариев

Дмитрий @Compolomus Куратор тега PHP

Изменит? Если вы про панель разработчика, то вроде как там редактируется готовый DOM

Написано более трёх лет назад
Orbb @humiliation

Дмитрий, можно любой запрос изменить и отправить, в т.ч. если идет привязка элементов к дом - можно изменить элемент и какой-нить жквери подвоха не заметит

Написано более трёх лет назад
lUser L @thisuserhatephp Автор вопроса

Дмитрий, на сайте выводится кнопка с id если нажать на нее отправляется ajax запрос на страницу content.php например.
Как видишь на скрине ссылку с data-id если на нее нажать то на content.php отправиться id274 но если я изменю через панель разработчика id274 на 555 то отправиться 555. Вопрос и был в том , как мне сделать так, что бы пользователь не мог изменить атрибут data-id

Написано более трёх лет назад
Nujabes37 @Nujabes37

Эмиль Гасанов, никак, все проверки надо делать через back.

Написано более трёх лет назад
edward_freedom @edward_freedom

Эмиль Гасанов, а зачем это нужно? Пусть меняет пользователь что хочет, ничего это не изменит

Написано более трёх лет назад
alex-1917 @alex-1917

это сродни защите от копирования текста страницы... бгг

Написано более трёх лет назад

Решения вопроса 1

2 комментария

Пригласить эксперта

Ответы на вопрос 2

Комментировать

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+1 ещё

Простой
Почему клиент телеграма отсылает битый запрос?
- 1 подписчик
- вчера
- 102 просмотра
0

ответов
PHP

+2 ещё

Простой
Как в Drupal 10 массово проставить noindex для >1000 страниц?
- 1 подписчик
- вчера
- 42 просмотра
1

ответ
PHP

+1 ещё

Простой
Парсинг XML yandex?
- 1 подписчик
- вчера
- 96 просмотров
0

ответов
PHP

Простой
Заполнить не существующими датами из бд в графике apexcharts?
- 1 подписчик
- вчера
- 57 просмотров
2

ответа
PHP

+1 ещё

Средний
Почему одинаково-написанный curl запрос отдает разные ответы?
- 1 подписчик
- 17 апр.
- 135 просмотров
0

ответов
PHP

Простой
Вывожу куки в корзине, куда записал товар, не выводит, в чем ошибка?
- 1 подписчик
- 17 апр.
- 84 просмотра
0

ответов
PHP

Простой
Функция str_replace() не работает?
- 1 подписчик
- 17 апр.
- 188 просмотров
3

ответа
PHP

+1 ещё

Простой
Как получить данные title на TradingView?
- 1 подписчик
- 17 апр.
- 31 просмотр
1

ответ
PHP

+2 ещё

Сложный
Интеграция Telegram с CRM системой. Что посоветуете?
- 1 подписчик
- 17 апр.
- 148 просмотров
1

ответ
JavaScript

+3 ещё

Простой
Как принять данные от JQuery.ajax на сервере php?
- 1 подписчик
- 16 апр.
- 96 просмотров
1

ответ
Показать ещё Загружается…

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

PHP-разработчик

M-Social Production • Брянск

от 70 000 ₽

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

Разработать интранет сайт (корпоративный портал)

20 апр. 2024, в 07:24

100000 руб./за проект

Исправить адаптивную верстку на Tilda Zero Block

20 апр. 2024, в 06:39

4000 руб./за проект

Доработка аддона для Xenforo v2.2.13

20 апр. 2024, в 06:06

200 руб./за проект

Изменит? Если вы про панель разработчика, то вроде как там редактируется готовый DOM
Дмитрий, можно любой запрос изменить и отправить, в т.ч. если идет привязка элементов к дом - можно изменить элемент и какой-нить жквери подвоха не заметит
Дмитрий, на сайте выводится кнопка с id если нажать на нее отправляется ajax запрос на страницу content.php например.
Как видишь на скрине ссылку с data-id если на нее нажать то на content.php отправиться id274 но если я изменю через панель разработчика id274 на 555 то отправиться 555. Вопрос и был в том , как мне сделать так, что бы пользователь не мог изменить атрибут data-id
Эмиль Гасанов, никак, все проверки надо делать через back.
Эмиль Гасанов, а зачем это нужно? Пусть меняет пользователь что хочет, ничего это не изменит
это сродни защите от копирования текста страницы... бгг

Answer 1 · 2019-10-08 18:13:46

Решение очень простое
Создаем две функции: cryptID и decryptID, которые шифруют и дешифруют ID. Пользователю отдаем зашифрованный ID, типа:
data-id="wallId_G5ht3Q"
Далее когда пользователь отправляет запрос, получаем G5ht3Q, расшифровываем его, и проверяем, существует ли запись с таким ID

Answer 2 · 2019-10-08 17:53:40

О господи, опять этот вопрос.

Запрос никак не защищать.
Если пользователь может видеть запись 666, то пусть смотрит что хочет.
Если пользователь не имеет права видеть запись 666, то получив любой запрос проверять его на наличие прав. А изменение запроса оставить в покое. Клиент по определению может отправить любой.

К CSRF это абсолютно безобидное ковыряние в хтмлочке никакого отношения не имеет.

Answer 3 · 2019-10-08 18:00:05

если это только гет - то пусть гетит себе на здоровье. С лимитом на запросы, не более 20 в минуту, например. А на update-delete-create, конечно, проверка прав и CSRF.

Как защитить запрос от изменения?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт