Как предотвратить доступ к удалению чужих записей на сайте?

Question

jrborisov @jrborisov

PHP
MySQL

Как предотвратить доступ к удалению чужих записей на сайте?

В последнее время кто-то удаляет посты с сайта, скорее всего он отправляет запрос к контроллеру deletePost.. и передает параметры поста которого нужно удалить.
У пользователей есть возможность удалять собственный пост, я делаю проверку на php запросом в бд (принадлежит ли ему пост) и если да то удаляет, но как то это обходит.

Вопрос задан более трёх лет назад
299 просмотров

14 комментариев

Подписаться 4 Оценить 14 комментариев

Скорее всего где-то дыра, ищите её.
Код проверки скидывайте. И проверьте наличие в остальных местах SQL инъекций.
$idAuthor= Yii::app()->db->createCommand()->select('author')
->from('tbl_posts')
->where('id_post='.$idPost)
->queryRow();

if(dateUser::getInfoUser()['id']==$idAuthor['author']){
выполняю удаление...
}
добавьте невидимое поле с токеном, а на сервере записывайте в сессию этот токен. потом проверяйте его в запросе.
jrborisov: Кто мне мешает передать чужой id?
Alex: чужой id posta никто не мешает, но id пользователя хранится в сессии
Zhainar: я передаю параметры для удаления через ajax если я для пользователя сформирую токен и буду передвать его третьим праметром а на сервере проверять равны ли они то будет норм?
jrborisov: Слямзить сессию? Вот чую где то SQL Injection...
Алексей: да справедливое замечание)
Get запросом удалить можно? А вообще добавьте лога, айпи,реферер.
Айпи запроса, айпи при авторизации.
В случае ошибок типа сравнения нул с нул условие будет верным.

Answer 1 · 2016-06-01 14:50:27

Для начала надо через логи вычислить злоумышленника и выяснить по какому URL производится удаление.
Может быть это совсем не тот URL, который вы подозреваете.

Как предотвратить доступ к удалению чужих записей на сайте?

Войдите на сайт