Visualizzazione dei risultati da 1 a 2 su 2
  1. #1

    Ajax - Parere sulla sicurezza di questo script

    Ciao Ragazzi,
    Vorrei utilizzare lo script ajax che posto qui sotto per creare un semplice form di verifica dell'esistenza di un utente e vorrei sapere dagli esperti se a parer loro utilizzandolo potrebbero esserci problemi di sicurezza.

    Questo è il codice
    codice:
    function postRequest(strURL){
    var xmlHttp;
    if(window.XMLHttpRequest){ // For Mozilla, Safari, ...
    var xmlHttp = new XMLHttpRequest();
    }
    else if(window.ActiveXObject){ // For Internet Explorer
    var xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
    }
    xmlHttp.open('POST', strURL, true);
    xmlHttp.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
    xmlHttp.onreadystatechange = function(){
    if (xmlHttp.readyState == 4){
    updatepage(xmlHttp.responseText);
    }
    }
    xmlHttp.send(strURL);
    }
    
    function updatepage(str){
    if(str>="yes"){
    
    alert("Welcome User");
    }else{
    alert("Invalid Login! Please try again!");
    }
    }
    
    function call_login(){
    var username = window.document.f1.username.value;
    var password = window.document.f1.password.value;
    var url = "check_username.php?username=" + username + "&password=" +password ;
    postRequest(url);
    }
    Grazie in anticipo

  2. #2
    dal punto di vista della sicurezza non mi sembra meno sicuro di una form in html che chiama una pagina lato server. Ti consiglierei di modificare la pagina check_username.php, facendo in modo che il $_SERVER['HTTP_REFERER'] sia il tuo sito e non un url esterno. Inoltre, faresti bene a mettere entrambe le pagine (quella con la form e check_username.php) sotto HTTPS in modo che i dati non siano leggibili. Infine, metti anche il controllo che $_SERVER['HTTPS'] di check_username.php sia !empty() in modo da essere sicuro che la comunicazione sia criptata.
    I DON'T Double Click!

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.