Ergebnis 1 bis 7 von 7
  1. #1
    MalcomX ist offline Doppel-As
    registriert
    18-02-2010
    Beiträge
    105

    Sicherheitsfrage Ajax JS

    N'Abend erst mal ! ! !

    Ich frage in einem Ajax Request eine Session Var aus PHP ab, und mir geht es jetzt mal um das Thema Sicherheit.

    PHP-Code:
    if((response[1]>=<?php echo $gesamtpreis_bonus?>)&&(response[2]!=1)){
    Also wenn response[2]!=1 ist, dann ist in PHP auch die dementsprechende Session Var nicht gesetzt.

    Zu meiner Frage. Kann man so einen Request / Response faken ?

    Lieben Gruß und euch allen einen schönen Abend
    Malcom

  2. #2
    tsseh ist offline Foren-Gott
    registriert
    19-05-2008
    Beiträge
    5.619

    AW: Sicherheitsfrage Ajax JS

    natürlich, deswegen macht man überprüfungen auf dem server

  3. #3
    MalcomX ist offline Doppel-As
    registriert
    18-02-2010
    Beiträge
    105

    AW: Sicherheitsfrage Ajax JS

    Ok und erst mal Danke für deine Antwort

    Wie kann man so etwas faken ? Würde mich mal interessieren zum testen.

    Kann man ja sehen das es sich hier um einen Gesamtpreis Bonus handelt und wäre ein Unding wenn da ein Leck wäre

    Also liese sich quasi der Wert wo aus $gesamtpreis_bonus resultiert ohne weiteres z.B von 30 € auf 7 € zu ändern und

    response[2]!=1 sich z.B auch der Wert 1 abändern ?

    response[2]!=1 fragt eben ab ob der Gesamtpreis Bonus schon gewählt wurde.

    Dieser wird in einer Session Variable im PHP File gesetzt mit $_SESSION['gesamt_bonus'] = 1

    und frage ich zusätzlich wie folgt im PHP File nochmal mit ab.

    if(($_POST['act']=='insert')&&($_SESSION['gesamt_bonus'] != 1)){

    Malcom
    Geändert von MalcomX (09-11-2016 um 23:06 Uhr)

  4. #4
    tsseh ist offline Foren-Gott
    registriert
    19-05-2008
    Beiträge
    5.619

    AW: Sicherheitsfrage Ajax JS

    Zitat Zitat von MalcomX Beitrag anzeigen
    Wie kann man so etwas faken ? Würde mich mal interessieren zum testen.
    einfach mit dem debugger

  5. #5
    Avatar von kkapsner
    kkapsner ist offline Super Moderator
    registriert
    28-03-2008
    Beiträge
    17.611

    AW: Sicherheitsfrage Ajax JS

    Da müsste man noch nicht einmal irgendetwas faken. Man kann ja in der JS-Konsole auch einfach den Code ohne die if-Abfrage ausführen. Was wird denn da abhängig vom if ausgeführt?

  6. #6
    MalcomX ist offline Doppel-As
    registriert
    18-02-2010
    Beiträge
    105

    AW: Sicherheitsfrage Ajax JS

    Mojen die Herrschaften

    Also schäm und ehrlich gesagt wusste ich nicht das sowas in der Console machbar ist. Hab ein bissi rumgespielt und wie kkapsner schreibt.

    Ajax Request ausführen und schon hat man sein Ergebnis. Hab ich aber zum Glück schon alles in der PHP berücksichtigt.

    @kkapsner

    Ein Ajax Request der Produkte listet, die man ab einem Mindestbestellwert X GRATIS dazu bekommt.

    Also hab es so gelöst, das der Warenkorb Gesamtbetrag nochmal abgefragt wird und mit der Var $gesamtpreis_bonus abgeglichen wird. Zusätzlich setze ich eine Session Var wenn dieser schon mal gewählt wurde. Bzw. frage dies vor Auflistung nochmal ab und bei INSERT

    Oder würdet Ihr da noch etwas anderes mit berücksichtigen ?

    Ich muss noch ein Punktesystem integrieren. Soll heißen das bei jeder Bestellung jeder registrierte Kunde einen Punkt bekommt. Sobald eine Punktezahl X erreicht ist, bekommt er einen Artikel, nach seiner Wahl, GRATIS bei seiner nächsten Bestellung dazu.

    Wie würdet ihr so etwas absichern ?

    Hab auch schon mit dem Gedanken gespielt nen Kompressor/Obfuscator für entsprechende Stellen im Code zu verwenden. Aber ist ja auch alles wieder kenntlich zu machen, wenn man sich bissi auskennt.

    Lieben Gruß und euch allen ein schönes und erholsames Wochenende
    Malcom
    Geändert von MalcomX (12-11-2016 um 09:47 Uhr)

  7. #7
    Avatar von kkapsner
    kkapsner ist offline Super Moderator
    registriert
    28-03-2008
    Beiträge
    17.611

    AW: Sicherheitsfrage Ajax JS

    Zitat Zitat von MalcomX Beitrag anzeigen
    Oder würdet Ihr da noch etwas anderes mit berücksichtigen ?
    Klingt jetzt erst einmal OK. Prinzipiell musst du hald einfach alles, was vom Browser kommt, auf dem Server überprüfen.

    Zitat Zitat von MalcomX Beitrag anzeigen
    Wie würdet ihr so etwas absichern ?
    Genauso. Alle Überprüfungen auf dem Server machen.

    Zitat Zitat von MalcomX Beitrag anzeigen
    Aber ist ja auch alles wieder kenntlich zu machen, wenn man sich bissi auskennt.
    Das ist keine Sicherheit.

Ähnliche Themen

  1. Grundsätzliche Sicherheitsfrage(n)
    Von ZENeca im Forum JavaScript
    Antworten: 7
    Letzter Beitrag: 25-04-2013, 22:34
  2. Antworten: 4
    Letzter Beitrag: 29-03-2013, 23:08
  3. Suche Dummy Ajax Loader / Ajax Style Ladevorgang
    Von noidea001 im Forum JavaScript
    Antworten: 26
    Letzter Beitrag: 25-02-2010, 19:30
  4. Nach Ajax.Updater weiteres Ajax ausführen
    Von nick_beat20 im Forum JavaScript
    Antworten: 1
    Letzter Beitrag: 06-08-2009, 17:56
  5. [AJAX/PHP] AJAX Anfänger braucht Hilfe bei Shoutbox
    Von carlo2 im Forum Serverseitige Programmierung
    Antworten: 1
    Letzter Beitrag: 01-11-2007, 19:16

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •