Как предотвратить доступ к удалению чужих записей на сайте?

Question

[jrborisov]

В последнее время кто-то удаляет посты с сайта, скорее всего он отправляет запрос к контроллеру deletePost.. и передает параметры поста которого нужно удалить.
У пользователей есть возможность удалять собственный пост, я делаю проверку на php запросом в бд (принадлежит ли ему пост) и если да то удаляет, но как то это обходит.

Comments

[Ульрих]

Скорее всего где-то дыра, ищите её.

[Alex]

Код проверки скидывайте. И проверьте наличие в остальных местах SQL инъекций.

[jrborisov]

$idAuthor= Yii::app()->db->createCommand()->select('author')
->from('tbl_posts')
->where('id_post='.$idPost)
->queryRow();

if(dateUser::getInfoUser()['id']==$idAuthor['author']){
выполняю удаление...
}

[Zhainar]

добавьте невидимое поле с токеном, а на сервере записывайте в сессию этот токен. потом проверяйте его в запросе.

[Alex]

jrborisov: Кто мне мешает передать чужой id?

[jrborisov]

Alex: чужой id posta никто не мешает, но id пользователя хранится в сессии

[jrborisov]

Zhainar: я передаю параметры для удаления через ajax если я для пользователя сформирую токен и буду передвать его третьим праметром а на сервере проверять равны ли они то будет норм?

[Alex]

jrborisov: Слямзить сессию? Вот чую где то SQL Injection...

[Алексей]

dateUser или dataUser ?

[Zhainar]

jrborisov: да

[jrborisov]

Алексей: да справедливое замечание)

[#алгоптимизируй #отботизируй]

Get запросом удалить можно? А вообще добавьте лога, айпи,реферер.

[#алгоптимизируй #отботизируй]

Айпи запроса, айпи при авторизации.

[#алгоптимизируй #отботизируй]

В случае ошибок типа сравнения нул с нул условие будет верным.

Answer 1

[Алексей]

Для начала надо через логи вычислить злоумышленника и выяснить по какому URL производится удаление.
Может быть это совсем не тот URL, который вы подозреваете.

Answer 2

[ТёмнаяМатерия]

Внедрить защиту от CSRF и проверку существования сессии при удалении. Мой вопрос заданный вчера вам поможет Можно для тех кто в танке про CSRF?

Answer 3

[Ёж Туманный]

Логи доступа по HTTP проверьте в первую очередь, грепая их по словам `deletePost`, `delete`, `id=` и т.д.