Как исправить уязвимости блога

Рейтинг: 0Ответов: 2Опубликовано: 24.03.2015

Написал блог, для практики. Посты добавляются в базу следующим пост запросом из javascript'a через ajax — xhttp.send("action=addPost&theme=Тема&post=ТекстПоста"); или удаляются по id — xhttp.send("action=deletePost&id=" + 123); или удаляются все — xhttp.send("action=deleteAllPosts");

Я написал отдельно "экплоит", который шлет выше указанные запросы, посты свободно добавляются/удаляются. Как от этого защититься? Проверять реферер? И как лучше проверять? Если я не ошибаюсь, то curl'ом можно подменить и его..

javascript php
Источник: Stack Overflow на русском

Ответы

▲ 1Принят

Привязка к аккаунту. Отсылается же на php скрипт и возможно 

if(USER_GROUP == "Admin"){
//выполнять код
} else {
 echo "Вы не имеете доступа к данному разделу";
}

P.S. С js не ахти у меня... Если что - исправляйте)

▲ 1

Шта?
Во-первых, на JS не предоставлять таких кнопок и функционала (что, впрочем, никак не влияет на успешность атаки).
Во-вторых, ВСЕГДА проверять на пыхе ВСЕ действия, которые поступают от клиента!