Защита полей

__PION__ · Регистрация: 21.07.2010

Студворк — интернет-сервис помощи студентам

Привет всем!
Вопрос по теории.
Допустим пользователь имеет право редактировать, к примеру свои сообщения, То что это текущий пользователь, а не кто то другой определяется через скрытое поле.
Но юзер может через firebug поменять свой номер или код на другой и получится он отредактирует чужое сообщение.
Когда имеется система регистрации можно как то поставить проверки через еще какой нибудь код в БД (щас фантазирую), а если это гостевуха, где нет регистрации, то как быть?
Какую еще проверку можно поставить чтобы юзер не мог редактировать чужие сообщения?

Возможно такой проблемы нет, но просто я щас подумал, и похоже что так можно.
Буду рад умным соображениям

Спасибо

@assassin947 · 27.10.2011, 19:59

Здравствуйте. Всегда нужно проверять отправленные формы на сервере, а не слепо доверять тому, что идет от клиента. Делаете запрос в базу, проверяете является ли данный пользователь автором сообщения, если да - позволить ему это.

А гостевух, где нет регистрации, с возможностью редактировать сообщения я не видел. Можно сделать вариант с IP и датой написания сообщения. То есть если сообщение оставлено менее 10 минут назад, и IP автора данного сообщения является IP адресом человека, который хочет его отредактировать - тогда сделать это, если нет - отказать.

можно еще в куки сохранить какой-нибудь ключ, без которого сообщение не отредактируется.

@DuxGeneral · 27.10.2011, 23:11

тема интересная

Сообщение от assassin947

Здравствуйте. Всегда нужно проверять отправленные формы на сервере, а не слепо доверять тому, что идет от клиента.

самому физически проверять все сообщения на сервере - бред

Сообщение от assassin947

Делаете запрос в базу, проверяете является ли данный пользователь автором сообщения, если да - позволить ему это.

в том то и дело, что даже зарегестрированый пользователь может подменит ID другого пользователя (взломать) и вышеуказанная проверка ничего не даст

Сообщение от assassin947

Можно сделать вариант с IP и датой написания сообщения

IP есть динамические. А если автор захочет редактировать сообщение поже 10 минут?

Сообщение от assassin947

можно еще в куки сохранить какой-нибудь ключ, без которого сообщение не отредактируется.

тоже что и спроверкор регистрации на сайте

Сообщение от Love_and_Peace

а если это гостевуха, где нет регистрации, то как быть?

доступ к редактированию сообщений открыть через имейл

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

__PION__ 960 / 801 / 85 Регистрация: 21.07.2010 Сообщений: 3,522

	Защита полей 27.10.2011, 17:43. Показов 949. Ответов 2 Метки нет (Все метки) Привет всем! Вопрос по теории. Допустим пользователь имеет право редактировать, к примеру свои сообщения, То что это текущий пользователь, а не кто то другой определяется через скрытое поле. Но юзер может через firebug поменять свой номер или код на другой и получится он отредактирует чужое сообщение. Когда имеется система регистрации можно как то поставить проверки через еще какой нибудь код в БД (щас фантазирую), а если это гостевуха, где нет регистрации, то как быть? Какую еще проверку можно поставить чтобы юзер не мог редактировать чужие сообщения? Возможно такой проблемы нет, но просто я щас подумал, и похоже что так можно. Буду рад умным соображениям Спасибо 0

@assassin947 9 / 9 / 1 Регистрация: 06.08.2010 Сообщений: 56
	27.10.2011, 19:59
	Здравствуйте. Всегда нужно проверять отправленные формы на сервере, а не слепо доверять тому, что идет от клиента. Делаете запрос в базу, проверяете является ли данный пользователь автором сообщения, если да - позволить ему это. А гостевух, где нет регистрации, с возможностью редактировать сообщения я не видел. Можно сделать вариант с IP и датой написания сообщения. То есть если сообщение оставлено менее 10 минут назад, и IP автора данного сообщения является IP адресом человека, который хочет его отредактировать - тогда сделать это, если нет - отказать. можно еще в куки сохранить какой-нибудь ключ, без которого сообщение не отредактируется. 1