Ajax - Parere sulla sicurezza di questo script

[DigItalWarrior]

Ciao Ragazzi,
Vorrei utilizzare lo script ajax che posto qui sotto per creare un semplice form di verifica dell'esistenza di un utente e vorrei sapere dagli esperti se a parer loro utilizzandolo potrebbero esserci problemi di sicurezza.

Questo è il codice

codice:

function postRequest(strURL){
var xmlHttp;
if(window.XMLHttpRequest){ // For Mozilla, Safari, ...
var xmlHttp = new XMLHttpRequest();
}
else if(window.ActiveXObject){ // For Internet Explorer
var xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
}
xmlHttp.open('POST', strURL, true);
xmlHttp.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xmlHttp.onreadystatechange = function(){
if (xmlHttp.readyState == 4){
updatepage(xmlHttp.responseText);
}
}
xmlHttp.send(strURL);
}

function updatepage(str){
if(str>="yes"){

alert("Welcome User");
}else{
alert("Invalid Login! Please try again!");
}
}

function call_login(){
var username = window.document.f1.username.value;
var password = window.document.f1.password.value;
var url = "check_username.php?username=" + username + "&password=" +password ;
postRequest(url);
}

Grazie in anticipo

[artorius]

dal punto di vista della sicurezza non mi sembra meno sicuro di una form in html che chiama una pagina lato server. Ti consiglierei di modificare la pagina check_username.php, facendo in modo che il $_SERVER['HTTP_REFERER'] sia il tuo sito e non un url esterno. Inoltre, faresti bene a mettere entrambe le pagine (quella con la form e check_username.php) sotto HTTPS in modo che i dati non siano leggibili. Infine, metti anche il controllo che $_SERVER['HTTPS'] di check_username.php sia !empty() in modo da essere sicuro che la comunicazione sia criptata.