Eval против JSON.parse

Сразу скажу, использовал оба метода, переключился на JSON.parse пожалуй больше из соображений более быстрого написания кода на php (хотя и повлияла встреченная где-то фраза, что eval работает медленно).

Но сейчас решил разобраться из чисто теоретического интереса: почему плохо и плохо ли использование eval в таком применении:

В php формируется строка типа:
=>
js
По-моему понятно, что передается строка через аякс - js ее получает из надежного источника, выполняется код и формируется в данном случае массив.

0

Сообщение от 755 Но, когда попробовал использовать через аякс данную конструкция выполнить код не получилось.

Кто про что... А вшивый про баню.

Сообщение от 755 думаю запустить некий секретный код, который извне нельзя будет увидеть и соответственно узнать, что он выполнил.

Такие "коды" нужно запускать на сервере.
А клиенту передавать лишь результат. А это какие-то данные.

0

Сообщение от krvsa Такие "коды" нужно запускать на сервере. А клиенту передавать лишь результат. А это какие-то данные.

krvsa, решил Вас не обижать, поэтому напишу кратко: Вы очень категоричны, и тем самым не допускаете возможность других вариантов. Например, кроме данных, могут быть какие-либо действия. Правда, их результатом могут быть данные, но не обязательно. Возможно и еще что-то, что уже я не вижу.

0

Сообщение от 755 Например, кроме данных, могут быть какие-либо действия.

Все возможные действия, которые может/должен выполнять фронт (браузер) должны быть в нем и предусмотрены. Сервер может в этом случае только послать информацию (данные), какое действие должен выполнить браузер. Иначе, если сервер будет посылать само действие, то не зная как устроено все в скриптах браузера (а он и не должен знать) может получиться так, что браузер не сможет это выполнить и скрипт ляжет из-за ошибок.
Еще раз. Скрипты на сервере и на клиенте должны быть независимы друг от друга. Связь только по данным. Разработчик может как угодно менять серверный скрипт, не трогая браузерный, лишь бы посылались нужные данные. Можно менять как угодно браузерные скрипты, не думая, что там на сервере, лишь бы данные правильно обрабатывались.

Добавлено через 5 минут
В браузере нет никакой "секретности". Все, что приходит по сети в браузер может видеть кто угодно. Даже если это "зашифрованные" данные, то проходя в отладчике по шагам исполнение кода, можно дойти до места, где они будут "расшифрованы".

0

voraa, просто привел пример, что кроме данных возможно на мой пока еще неопытный взгляд выполнение действия на клиенте (причем я думал и о первом и о втором). Ранее считал через eval. После вчерашних комментариев понял так, что возможно с использованием <script>. Ну а еще вчера увидел, возможно (пока не проверил) , иной вариант выполнения кода (думаю, о нем не упоминалось на форумах. Хотя, как говорится, "ничто не ново под луной")

Сообщение от voraa Иначе, если сервер будет посылать само действие, то не зная как устроено все в скриптах браузера (а он и не должен знать) может получиться так, что браузер не сможет это выполнить и скрипт ляжет из-за ошибок.

Не понимаю, если я являюсь разработчиком, почему я не могу выполнить действие на стороне клиента. В частности через eval я уже проверял и одно действие выполнилось с результатом так как надо.

Сообщение от voraa В браузере нет никакой "секретности". Все, что приходит по сети в браузер может видеть кто угодно. Даже если это "зашифрованные" данные, то проходя в отладчике по шагам исполнение кода, можно дойти до места, где они будут "расшифрованы".

Да, я это уже понял после комментария voral. После этого поинтересовался, оказалось что не первый, кто задумывался над данным вопросом - только, думаю, у нас разные мотивы - мой защитить сайт от возможного проникновения, а точнее от получения доступа к чужим данным. Хотя и приводили примеры методов усложнить доступ к получению кода. Но как кто-то написал и php файл можно прочитать: "Допустим, вы беспокоитесь о том, что секретная информация может быть раскрыта. Допустим, вы помещаете ее в PHP-файл и вызываете его через Ajax. Тогда любой может вызвать этот PHP-файл и узнать секрет." - не знаю, насколько это соответствует действительности, но принял к сведению.

0

Сообщение от 755 Но как кто-то написал и php файл можно прочитать: "Допустим, вы беспокоитесь о том, что секретная информация может быть раскрыта. Допустим, вы помещаете ее в PHP-файл и вызываете его через Ajax. Тогда любой может вызвать этот PHP-файл и узнать секрет." - не знаю, насколько это соответствует действительности, но принял к сведению.

Если у вас есть необходимость передавать в браузер секретные данные, то для этого используются совершенно другие методы. И с кодом они связанны лишь косвенно.

Аутентификация, авторизация, https. Чужие данные закрываются исключительно разграничением прав доступа на стороне бекенда. JS тут вообще не при чем (если конечно вы не решите бек перевести на js + node.js). Если у вас фронт начинает заниматься ограничением доступа к данным - это значит, что данные уже публичны.

Добавлено через 7 минут

Сообщение от 755 Допустим, вы беспокоитесь о том, что секретная информация может быть раскрыта. Допустим, вы помещаете ее в PHP-файл и вызываете его через Ajax. Тогда любой может вызвать этот PHP-файл и узнать секрет

Если быть точным, "если PHP файл возвращает этот секрет". вот оба варианта содержат секрет:

1. вариант. тоже "не совсем" безопасен. если вы где сделаете дыру позволяющую, прочитать содержимое любого файла на вашем сервере, или, даже собьете настройки вашего сервера и все php файлы будут отдаваться как есть, а не отправляться интерпретатору php
2. А вот тут уже действительно любой, у кого есть доступ для обращение к этому файлу. и тут уже ваша задача, обеспечить разграничение прав тем или иным способом.
Т.е. если на уровне псевдкода должно быть

1

Сообщение от voral Если у вас есть необходимость передавать в браузер секретные данные,

Секретные данные как вариант можно зашифровать. Думал сделать секретом не сами данные, а их существование.

Сообщение от voral если конечно вы не решите бек перевести на js + node.js

Да, подумал, не стоит ли в перспективе изучить node.js (когда интересовался, можно ли работать с файловой системой на компьютере Пользователя)

Спасибо, voral, но пока все это только в мыслях, как говорится думаю над алгоритмом - на первом этапе постараюсь минимизировать работу с персональными данными, а, если получится, вообще избежать их.

0

Сообщение от 755 Секретные данные как вариант можно зашифровать. Думал сделать секретом не сами данные, а их существование.

Можно, но смысла в этом нет если речь идет об обмене с браузером. Они должны в принципе отдаваться только тому, кто имеет право их видеть, а значит: какой смысл в шифровании?

По сути шифрование может быть полезным если:
1. Передаете некие данные которые есть необходимость хранить в куках или localStorage. Но расшифровывать на фронте их НЕ надо. Т.е. когда потребуется так же в зашифрованном виде фронт их передает на бек, на бек производится дешифровка (ну или сверка по хешу)

2. если вы создаете АПИ, т.е. запрос выполняет не браузер, а другой сервер, т.е. "абы кто" не видит как это все используется и дешефруется.

0

Спасибо, voral, за добавленные примеры. Повторюсь, пока в этом нет необходимости.

В свое время думал, что php знаю неплохо, потому что считал, что смогу написать на нем любую задачу. Но уже сейчас, в процессе работы над сайтом понял что и по нему у меня очень много пробелов.

Добавлено через 6 минут

Сообщение от voral По сути шифрование может быть полезным если: 1. Передаете некие данные которые есть необходимость хранить в куках или localStorage. Но расшифровывать на фронте их НЕ надо. Т.е. когда потребуется так же в зашифрованном виде фронт их передает на бек, на бек производится дешифровка (ну или сверка по хешу)

Да, конечно, это естественный напрашиваемый алгоритм.

Но есть еще, например, такой вариант: неизвестно откуда появилась переменная, непонятно что содержит, самое главное, неизвестно и соответственно непонятно ее назначение. И в общей массе других переменных на нее можно и не обратить внимание. (увы, как понял, пока нереализуемый)

0

Сообщение от 755 Но есть еще вариант: неизвестно откуда появилась переменная, непонятно что содержит, самое главное, непонятно ее назначение. И в общей массе других переменных на нее можно и не обратить внимание.

Это будет признаком отвратительного кода, архитектуры и всего прочего. Что значит "не известно откуда"?

0

Сообщение от voral Это будет признаком отвратительного кода, архитектуры и всего прочего.

Код надо сразу писать обфусцированным и минифицированным. А сопровождение отдвать на аутсорц. Шутка.

0

Сообщение от voral Это будет признаком отвратительного кода, архитектуры и всего прочего

Зато, возможно, интересным дополнительным решением по защите сайта. Подчеркиваю, возможно.

Сообщение от voral Что значит "не известно откуда"?

Об этом писал ранее: если можно было бы скрыть код, например до вчерашнего дня думал так: eval создал бы такую переменную, а потом код, ее создавший, был бы удален. Переменная появилась бы, а откуда и когда - неизвестно.

Добавлено через 3 минуты
М.б. об этом правильнее не следовало бы писать, но, решил, что мне не жалко (даже, если и реализую) - придумаю еще что-нибудь.

0

Сообщение от 755 Например, кроме данных, могут быть какие-либо действия. Правда, их результатом могут быть данные, но не обязательно. Возможно и еще что-то, что уже я не вижу.

Где примеры?
Какие еще действия должны выполняться после того "секретного кода"?
Если они не секретные - их можно подключить обычным <script></script>...

Сообщение от 755 Вы очень категоричны, и тем самым не допускаете возможность других вариантов.

Ты по прежнему блуждаешь в своих потемках и не видишь нормальных решений. Они для тебя слишком просты и не достойны внимания.

Добавлено через 1 минуту

Сообщение от 755 Не понимаю, если я являюсь разработчиком, почему я не могу выполнить действие на стороне клиента. В частности через eval я уже проверял и одно действие выполнилось с результатом так как надо.

Ты волен действовать как тебе угодно...
Но тем самым ты сам создаешь себе проблемы. Именно про это тебе и пишем. Только проку в этом 0.

Добавлено через 6 минут

Сообщение от 755 Но есть еще, например, такой вариант: неизвестно откуда появилась переменная, непонятно что содержит, самое главное, неизвестно и соответственно непонятно ее назначение. И в общей массе других переменных на нее можно и не обратить внимание. (увы, как понял, пока нереализуемый)

Сообщение от voral Это будет признаком отвратительного кода, архитектуры и всего прочего. Что значит "не известно откуда"?

Сообщение от 755 Зато, возможно, интересным дополнительным решением по защите сайта. Подчеркиваю, возможно.

Бесполезно...

1

Сообщение от 755 если я являюсь разработчиком, почему я не могу выполнить действие на стороне клиента.

Всегда надо думать о дальнейшем сопровождении. Если вы пишите что то исключительно для себя и потом готовы сами, вечно сопровождать свой код, то пишите как хотите. Никого даже не заинтересует работает у вас что или нет. Но если вы спрашиваете у других как надо, то и ответы получаете соответственные. И не ждите, что те, кто пишет производственный код и работает в команде будут соглашаться со всеми вашими наворотами и заворотами.

Добавлено через 3 минуты

Сообщение от 755 у нас разные мотивы - мой защитить сайт от возможного проникновения, а точнее от получения доступа к чужим данным.

Для этого есть вполне нормальные средства на сервере.
Просто надо погуглить и почитать, как это делается.

1

Спасибо всем за советы и потраченное время. Думаю, по последним комментариям вопросов нет.

Начну заниматься защитой, тогда вернусь к возможности использования <script>:

Сообщение от krvsa Какие еще действия должны выполняться после того "секретного кода"? Если они не секретные - их можно подключить обычным <script></script>...

А по поводу "секретного кода" - пока и сам не придумал, какие - есть только некоторые соображения.

0

Сообщение от 755 пока и сам не придумал

Не надо ни чего придумывать. Всё уже придумано - Обфускация.

0

0

Сообщение от stele Не надо ни чего придумывать. Всё уже придумано - Обфускация.

Во-первых, как читал, Обфускация, особенно первого уровня, несильно помогает. Во-вторых, пихать какой-то левый код, чтобы сбить с толку - мне лично не очень нравится. Кроме того - это не вид защиты информации, а усложнений кода для понимания. Минификатор и свой начал писать, хотя наверняка по уровню защиты он не сравнится с профессиональными. (да на это и не претендую - просто интересно. А м.б. и что-то будет свое более удобное)

И одно другому не помешает, если будет многоуровневая защита конфиденциальной информации.

Добавлено через 4 минуты

Сообщение от gogolik Я иной раз поражаюсь, как люди придумывают сами себе велосипед, а потом героически пытаются его решить...

Когда это не является работой и от этого получаешь удовольствие ... можно придумывать что угодно. А мне повезло - никогда не относился к программированию как к работе.

0

Сообщение от 755 Минификатор и свой начал писать, хотя наверняка по уровню защиты он не сравнится с профессиональными.

Минификаторы не являются никакой защитой. Только для уменьшения объема.
Даже с лучшим минификатором любая нормальная ИДЕ покажет структуру кода, с разбивкой строк по операторам, с отступами, а ИИ и имена переменным вполне читаемые даст.
И писать "свой" минификатор вам совсем не рекомендуется. Для нормальной минификации надо точно знать синтаксис js, учитывать области видимости, понимать из семантики, что можно минифицировать, что нельзя. Просто убрать пробелы - это не минификация.

Сообщение от 755 И одно другому не помешает, если будет многоуровневая защита конфиденциальной информации.

Это мартышкин труд, а не защита.

Сообщение от 755 А мне повезло - никогда не относился к программированию как к работе.

А зачем тогда спрашивать что то. Просто получайте удовольствие от процесса, а не результата. Не так же важно, работает или нет. Цель - ничто, движение все. Еще можно получать удовольствие от самостоятельного нахождения косяков в своем коде.

3

Сообщение от voraa Для нормальной минификации надо точно знать синтаксис js, учитывать области видимости, понимать из семантики, что можно минифицировать, что нельзя. Просто убрать пробелы - это не минификация.

Пробелы и комментарии убрать элементарно (это было сделано достаточно быстро). А вот именно и хотел проделать работу с переменными и функциями. И область видимости это не такая уж и проблема. Гораздо сложнее оказалось учесть то, что имена переменных могут формироваться динамически.
И не только ради удовольствия, но и чтобы облегчить написание кода и не задумываться об областях видимости - а формировать их динамически как раз в минификаторе.
Но все это не так важно и не стоит того, чтобы это обсуждать.

Добавлено через 6 минут

Сообщение от voraa А зачем тогда спрашивать что то. Просто получайте удовольствие от процесса, а не результата. Не так же важно, работает или нет. Цель - ничто, движение все.

По-моему понятно, что есть и цель, причем очень серьезная. Как говорил один герой: Выпьем за то, чтобы наши желания всегда совпадали с нашими возможностями.
Вот и у меня, прекрасно когда есть цель и от этого получаешь двойной удовольствие.

В любом случае благодарю и на этом прощаюсь

0