[rhdf]

Om en inkommande request saknar en giltig session så bör ju ditt backend inte returnera nånting.

här finns en teknik för att hantera detta beskrivet
http://ennuidesign.com/blog/Creating...cratch+Part+9/

man fixar altså ett unikt värde:
$_SESSION['token'] = md5(uniqid(rand(), TRUE));
Sen sätter man detta värde i ett dolt formulärfält på alla dina sidor.
Finns inte "token värdet" med i requesten så skickar man bara tillbaka en tom sida
if ( $_POST['token'] == $_SESSION['token']

[pelmered]

Citat:

Ursprungligen postat av rhdf

Om en inkommande request saknar en giltig session så bör ju ditt backend inte returnera nånting.

här finns en teknik för att hantera detta beskrivet
http://ennuidesign.com/blog/Creating...cratch+Part+9/

man fixar altså ett unikt värde:
$_SESSION['token'] = md5(uniqid(rand(), TRUE));
Sen sätter man detta värde i ett dolt formulärfält på alla dina sidor.
Finns inte "token värdet" med i requesten så skickar man bara tillbaka en tom sida
if ( $_POST['token'] == $_SESSION['token']

Va? nej... Så behöver man inte göra.
Med PHP räcker det med att du sätter det du vill ha i sessionsvariabeln så finns den där tills sessionen får timeout. Varje gång sidan laddas om nollställs timeout tiden och detta gäller även AJAX-requests.
Det räcker alltså med att sätta sessionsvariabeln när man loggar in på sidan och sedan kollar man den. Du behöver inga dolda formulär.

Vid login räcker det med t.ex:
$_SESSION['id'] = $userId;
$_SESSION['loggedIn'] = true;

Sedan kollar du på varje sida innan du gör något annat:
if ($_SESSION['loggedIn'] == false || !$_SESSION['id'] > 0)
die();

[rhdf]

ja man BEHÖVER inget formulärsfält, men om du läser sidan jag länkade till så förstår du anledningen till varför det är en bra idé

mer finns att läsa här
http://shiflett.org/articles/cross-s...uest-forgeries

[pelmered]

Citat:

Ursprungligen postat av rhdf

ja man BEHÖVER inget formulärsfält, men om du läser sidan jag länkade till så förstår du anledningen till varför det är en bra idé

mer finns att läsa här
http://shiflett.org/articles/cross-s...uest-forgeries

Okej, ska kolla upp det!

Citat:

Ursprungligen postat av studiox

Det jag tror Magnus menar är att om "renderingen" av data sker på klienten hur man kan då hindra att någon snor det? Om Magnus har en supercool lösning för att räkna ut elpriser (exempel) så vill han kanske inte att den lösningen ska liga i javascript så att någon kan sno den.

Det spelar ju ingen roll om du har en session eller inte, om uträkningen sker i klienten så får du ju tillgång till det då du automatiskt har en session. (Session löser ju inget i vilket fall som helst då alla kan få en session)

Jag tyckte själv det blev ett problem och såg till att bygga en snabb backend istället.

Ja, det kan ju vara ett problem. Men en lösning på det problemet kan ju vara just AJAX
Då kan du ju lyfta ut den logiken/algoritmen till ett serverside script som du anropar med AJAX. Det är dessutom mycket enklare att utveckla och underhålla mer avancerade saker i ett serverside script så det är i många fall att föredra.