[Ajax] Formato dati post ........

[whisher]

Ciao.
Curiosando in wordpress ho trovato
questa strana (almeno per me) stringa
inviata via post

Codice PHP:

cookie=wordpressuser_2121182934fcde8b6cc55518ba25428d%3Dadmin%3B%20wordpresspass_2121182934fcde8b6cc55518ba25428d
%3D8645aac5088dd86ed037aa1ec8369c20%3B%20dbx-postmeta%3Dgrabit%3A0%2B%7C1%2B%7C2-%7C3%2B%7C4%2B%7C5-
%7C6%2B%26advancedstuff%3A0-%7C1-%7C2-%3B%20PHPSESSID%3D15143f1fa29ebfac0a57c54d2dbd7541&action=add-category&newcat=Pippo&Button=Add 


presumo che siano
tutti controlli tranne:

Codice PHP:

action=add-category&newcat=Pippo&Button=Add 


però se qc ci legge qualcosa d'altro.


Perchè il parametro cookie ha quel po po
di stringa

[andr3a]

presumo siano queste

$COOKIE['wordpressuser_2121182934fcde8b6cc55518ba25428d'] === 'admin';
$COOKIE['wordpresspass_2121182934fcde8b6cc55518ba25428d'] === '8645aac5088dd86ed037aa1ec8369c20';
$COOKIE['dbx-postmeta'] === 'grabit:0+|1+|2-|3+|4+|5-|6+&advancedstuff:0-|1-|2-';

session_id() === '15143f1fa29ebfac0a57c54d2dbd7541';

session_id a parte, l'unico controllo è dbx-portmeta, le prime due sono un metodo a mio avviso lievemente contorto di salvare user e pass con tanto di privilegi.

Di certo faranno qualcosa tipo

SELECT auth FROM users WHERE "array_pop(explode('_', $key))" = MD5(user) AND $COOKIE['pass...'] = MD5(pass)

spero per loro abbiano messo una salt in tutto questo ma in generale non capisco perchè non hanno banalmente sfruttato JSON o serialize per avere informazioni meglio gestibili e gestibili più velocemente ... tipo

$COOKIE['wordpressuser'] = '{
"auth":"admin",
"user":"2121182934fcde8b6cc55518ba25428d",
"pass":"8645aac5088dd86ed037aa1ec8369c20",
"dbx-postmeta":"grabit:0+|1+|2-|3+|4+|5-|6+&advancedstuff:0-|1-|2-"
}';

[whisher]

Ciao e come al solito grazie della
reply.

Approfitto:

"dbx-postmeta":"grabit:0+|1+|2-|3+|4+|5-|6+&advancedstuff:0-|1-|2-"

potresti spenderci due parole

$COOKIE['wordpressuser_2121182934fcde8b6cc55518ba25428d'] === 'admin';
$COOKIE['wordpresspass_2121182934fcde8b6cc55518ba25428d'] === '8645aac5088dd86ed037aa1ec8369c20';

Per ottenere una cosa del genere io
utilizzerei all'onload una chiama ajax
che mi recuperi i valori dell'auth
dal db e permetterei l'inserimento solamente
se combaciano.
Dico bene ?



Mi sto domandando ma questa tecnica
si dovrebbe implementare per sicurezza
in tutte le request ???

[whisher]

Ciao e scusa l'insistenza.

A livello di sicurezza cosa è preferibile
usare sia a livello di request sia a livello
di response.

formato:

text
json
serialize
xml

Per l'esperienza che possa avere
scarterei json per la request




NB

Sto testando la tua function per
serializzare come mai una cosa
del genere non funziona

alert(php.unserialize('a:1:{s:3:"due";s:3:"two";}' ));

non funziona con gli array associativi ?
(json fa la conversione in oggetto)
in caso di bisogno dunque devo utilizzare
oggetti ?

[andr3a]

Originariamente inviato da whisher
Per l'esperienza che possa avere
scarterei json per la request

boh ... fai conto che Gmail usa JSON per inviare e ricevere dati ... fate vobis con sto JSON che non vi piace

Originariamente inviato da whisher
Sto testando la tua function per
serializzare come mai una cosa
del genere non funziona

di 10.000 e oltre persone che la usano nessuno ha mai avuto problemi con array associativi ... magari se nell'alert scrivi anche la chiave che vuoi stampare e' meglio, tu che dici ?


var a = [];
a.pippo = "pluto";
alert(a);
// e cosa vuoi che ti stampi? mica hai impostato una index, ma una proprieta' come se fosse un object

[whisher]

[whisher]

Ultima cosa ma se nella pagina
richiamata da ajax uno mette
ad esempio

Codice PHP:

$auth->checkAuth() 


e praticamente accetta solo le request
degli utenti autorizzati non è lo stesso
che fare tutti quei controlli ?

[andr3a]

Originariamente inviato da whisher
Per ottenere una cosa del genere io
utilizzerei all'onload una chiama ajax
che mi recuperi i valori dell'auth
dal db e permetterei l'inserimento solamente
se combaciano.
Dico bene ?

chiamare ajax all'onload e' secondo me la cosa piu' inutile che si possa fare, per il semplice fatto che puoi settare, prendere dati direttamente al caricamento della pagina (salvo rarissime eccezioni, ma non e' questo il caso).

Ajax all'onload, 2 richieste per ogni utente ... e qualunque cosa chiami non la puoi chiamare direttamente in entrata index? semplicemente si ;-)

praticamente accetta solo le request
degli utenti autorizzati non è lo stesso
che fare tutti quei controlli ?

tutti quei controlli sono user e pass ed altri dati, quindi in questo modo rifaresti esattamente quello che gia' fa wordpress, verificare user e pass ad ogni pagina/chiamata/interazione

potresti spenderci due parole ?

mai visto i sorgenti di WP se non velocemente ... non so a cosa servano quelle info, saranno splittate e gestite per i privilegi utente, presumo ... ma non lo so, sei tu che ti stai studiando wordpress

[whisher]

chiamare ajax all'onload e' secondo me la cosa piu' inutile che si possa fare, per il semplice fatto che puoi settare, prendere dati direttamente al caricamento della pagina (salvo rarissime eccezioni, ma non e' questo il caso).

Ajax all'onload, 2 richieste per ogni utente ... e qualunque cosa chiami non la puoi chiamare direttamente in entrata index? semplicemente si ;-)

Lunedì mattina

mai visto i sorgenti di WP se non velocemente ... non so a cosa servano quelle info, saranno splittate e gestite per i privilegi utente, presumo ... ma non lo so, sei tu che ti stai studiando wordpress

Studiando è una parola grossa diciamo che sbircio
per trovare qualche spunto utile

Grazie per i chiarimenti e visto che google
usa json I'm mastering it !

[andr3a]

Originariamente inviato da whisher
Studiando è una parola grossa diciamo che sbircio
per trovare qualche spunto utile

hai sbagliato applicativo allora

Wordpress ha avuto successo più per la facilità d'utilizzo ed il rispetto parziale degli standards W3 (il che comunque non è affatto poco) ma questo non significa sia un applicativo così "profescional" ... ne conosco di migliori in stile blog o CMS

Originariamente inviato da whisher
Grazie per i chiarimenti e visto che google
usa json I'm mastering it !

gmail ed altro, non necessariamente tutto Google.
JSON ha tanti vantaggi che la gente continua ad ignorare ... ora io mi sto studiando un pò JsonML (Markup Language) che è tanto semplice quanto efficace e mi sa che "a breve" sarà sfruttato da molti anche per webServices (invio di info manipolabili e non di (x)ht(ml) già fatto e tutto )

Anche Yahoo ed altri sfruttano JSON (Yahoo anche la serialize di PHP personalizzata) ... insomma, tutto tranne xhtml, e che diamine, tanto per lavorare in Ajax serve javascript, non capirò mai perchè la gente si fa inviare pesante e ridondante (per lo scambio dati on-line) xhtml ... a cosa serve? Mai capito ... ma dato che ahah ancora lo usano, a qualcosa servirà