Hirdetés
- sziku69: Szólánc.
- Luck Dragon: Asszociációs játék. :)
- sziku69: Fűzzük össze a szavakat :)
- laskr99: DFI és DFI Lanparty gyűjteményem
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- gban: Ingyen kellene, de tegnapra
- Real Racing 3 - Freemium csoda
- Brogyi: CTEK akkumulátor töltő és másolatai
- Gurulunk, WAZE?!
- Parci: Milyen mosógépet vegyek?
Új hozzászólás Aktív témák
-
Lacc
aktív tag
válasz
adika4444
#19031
üzenetére
"post-tal küldöm el hogy reply.php?replyto=5" -> ez GET és nem POST
DNReNTi leírta, hogy jogosultság kezelés. Viszont a jogosultság kezelés nem ér sokat, ha a bejegyzés #5 és #6, na meg a többit is ugyanúgy lekérheti a felhasználó, és módosíthatja, az az joga van neki az összes bejegyzést módosítani, mert akkot tényleg tud hülyéskedni
.Ezt meg lehet előzni az XSS-hez hasonló technikákkal. A legegyszerűbb egy random Token készítése hash függvénnyel. Elmenteni Session-be, illetve, hogy melyik bejegyzéshez lett generálva (IP cím-et is lehet menteni, mint a Session kulcs) és azt egy hidden input mezőbe leküdeni a front-endbe. Amikor a User POST-tal, vagy GET-tel visszaküldi a szerver felé az adatot, akkor lecsekkolni, hogy az adott Token az adott Bejegyzéshez lett-e generálva? Ha igen, akkor elmented a User válaszát, ha nem, dobsz neki egy hibát, hogy ejnye-bejnye.
Ez egy aránylag gyors és jó megoldás, ha nincs jogosultság kezelésed.Van, ennek valami speckó neve is, de nem jut eszembe.
.Új hozzászólás Aktív témák
- Telefon felvásárlás!! Apple Watch SE/Apple Watch SE 2 (2022)
- HIBÁTLAN iPhone 12 Mini 64GB Purple -1 ÉV GARANCIA - Kártyafüggetlen, MS3481,96% Akkumulátor
- 12 GB-os Quadro RTX A2000 kártyák - garanciával
- Designer 4K Monitor - BenQ PD-2700-U
- GYÖNYÖRŰ iPhone 12 mini 128GB Purple -1 ÉV GARANCIA - Kártyafüggetlen, MS3327, 94% Akkumulátor
Állásajánlatok
Cég: NetGo.hu Kft.
Város: Gödöllő
Cég: Laptopműhely Bt.
Város: Budapest