Задать вопрос
@xxyofu

Как правильно реализовать взаимодействие с бд на сайте?

Я разрабатываю сайт для своих целей(проба пера), не понятно как правильно реализовать взаимодействие с базой данных, например, когда пользователь входит на сайт он заноситься в бд, то есть js отслеживает вход и делает post запрос php с данными для входа, но тогда любой пользователь может отправить такой же запрос, взяв за пример код js из кода элемента, вариант 2 из моей головы, использовать некий ключ, передаваемый в самом запросе, тогда как его хранить, например в env, из того что я вычитал, но тогда вопрос, а что мешает пользователю в том же коде элемента через console.log вывести содержимое этого файла и т.д. Подскажите как такие вещи правильно реализовать
  • Вопрос задан
  • 80 просмотров
Подписаться 1 Средний 1 комментарий
Пригласить эксперта
Ответы на вопрос 3
@alexalexes
использовать некий ключ, передаваемый в самом запросе, тогда как его хранить, например в env

Все придумано за вас, давно.
Некий ключ передаваемый в запросе - сессионная кука. Прочитайте про куки, и сикьюрные флаги кук - как http only и secure.
Прочитайте, что такое сессии php. Как она подымается, обратите внимание, когда появляется сессионная кука, и как она меняется от клиента к клиенту (потыкайте обычный режим браузера и инкогнито).
Посмотрите, как используется $_SESSION и $_COOKIE, чтобы сохранять данные авторизации, которые не передаются клиентом прямыми запросами.
Понимание работы с сессиями сервера и куками, не обязательно в PHP, даст исчерпывающий ответ на вопрос.
Ответ написан
Комментировать
но тогда любой пользователь может отправить такой же запрос, взяв за пример код js из кода элемента

Нет, не может. CORS.

что мешает пользователю в том же коде элемента через console.log вывести содержимое этого файла

location ~* \.(env) {
    deny    all;
}


Если хотите понять как все устроено. Начните разбираться с взаимодействием через API.
Ответ написан
@AlexVWill
Подскажите как такие вещи правильно реализовать

Правильно такие вещи реализовать не самописно, а с помощью механизмов авторизации, придуманных профи. Вот так например: https://developers.google.com/identity/sign-in/web...
Крайне рекомендуют делать именно так, а не иначе, потому что позволяет а) понять идеологию и механизм реализации правильного решения б) избежать гемороя с хранением, обработкой и передачей данных учетных записей...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы