Как предотвратить доступ к удалению чужих записей на сайте?

Question

jrborisov @jrborisov

PHP
MySQL

Как предотвратить доступ к удалению чужих записей на сайте?

В последнее время кто-то удаляет посты с сайта, скорее всего он отправляет запрос к контроллеру deletePost.. и передает параметры поста которого нужно удалить.
У пользователей есть возможность удалять собственный пост, я делаю проверку на php запросом в бд (принадлежит ли ему пост) и если да то удаляет, но как то это обходит.

Вопрос задан более трёх лет назад
299 просмотров

14 комментариев

Подписаться 4 Оценить 14 комментариев

Пригласить эксперта

Ответы на вопрос 3

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

PHP

+2 ещё

Сложный
Как обойти блокировку серверов CloudFlare на уровне провайдера?
- 1 подписчик
- вчера
- 2822 просмотра
5

ответов
PHP

Простой
Как трансформировать массив?
- 1 подписчик
- вчера
- 119 просмотров
1

ответ
MySQL

+2 ещё

Средний
Почему падает соединение с mysql за nginx?
- 2 подписчика
- 19 нояб.
- 159 просмотров
0

ответов
PHP

+1 ещё

Простой
Как решить проблему с выводом PHP из MSSQL?
- 1 подписчик
- 19 нояб.
- 120 просмотров
1

ответ
PHP

Средний
Как выявить символы не поддерживаемые кодировкой?
- 2 подписчика
- 18 нояб.
- 218 просмотров
1

ответ
PHP

Простой
Что неправильного в моем коде?
- 1 подписчик
- 18 нояб.
- 218 просмотров
3

ответа
PHP

Простой
Как исправить проблему с mail php и заголовками для gmail?
- 2 подписчика
- 18 нояб.
- 242 просмотра
2

ответа
PHP

+2 ещё

Простой
Как можно отредактировать микроразметку сайта написанного на Bootstrap?
- 1 подписчик
- 17 нояб.
- 226 просмотров
3

ответа
MySQL

+3 ещё

Простой
Как запустить приложение на SpringBoot с MySql и Docker Compose?
- 1 подписчик
- 17 нояб.
- 94 просмотра
0

ответов
WordPress

+2 ещё

Простой
Как перенаправить все select запросы из wp mysql в clickhouse?
- 1 подписчик
- 16 нояб.
- 113 просмотров
0

ответов
Показать ещё Загружается…

PHP-разработчик

Decart IT-production

от 260 000 до 340 000 ₽

Разработчик PHP

Автомакон

от 206 000 ₽

Backend-разработчик PHP

Wanted. • Москва

До 160 000 ₽

Сверстать десктоп версию сайта в tailwind

22 нояб. 2024, в 06:06

1500 руб./в час

Создать TG бота

22 нояб. 2024, в 06:04

1 руб./за проект

Тестирование модуля ElasticSearch через ftp

22 нояб. 2024, в 03:54

1500 руб./за проект

Скорее всего где-то дыра, ищите её.
Код проверки скидывайте. И проверьте наличие в остальных местах SQL инъекций.
$idAuthor= Yii::app()->db->createCommand()->select('author')
->from('tbl_posts')
->where('id_post='.$idPost)
->queryRow();

if(dateUser::getInfoUser()['id']==$idAuthor['author']){
выполняю удаление...
}
добавьте невидимое поле с токеном, а на сервере записывайте в сессию этот токен. потом проверяйте его в запросе.
jrborisov: Кто мне мешает передать чужой id?
Alex: чужой id posta никто не мешает, но id пользователя хранится в сессии
Zhainar: я передаю параметры для удаления через ajax если я для пользователя сформирую токен и буду передвать его третьим праметром а на сервере проверять равны ли они то будет норм?
jrborisov: Слямзить сессию? Вот чую где то SQL Injection...
Алексей: да справедливое замечание)
Get запросом удалить можно? А вообще добавьте лога, айпи,реферер.
Айпи запроса, айпи при авторизации.
В случае ошибок типа сравнения нул с нул условие будет верным.

Answer 1 · 2016-06-01 14:50:27

Для начала надо через логи вычислить злоумышленника и выяснить по какому URL производится удаление.
Может быть это совсем не тот URL, который вы подозреваете.

Answer 2 · 2016-06-01 14:31:30

Внедрить защиту от CSRF и проверку существования сессии при удалении. Мой вопрос заданный вчера вам поможет Можно для тех кто в танке про CSRF?

Answer 3 · 2016-06-01 14:47:50

Логи доступа по HTTP проверьте в первую очередь, грепая их по словам `deletePost`, `delete`, `id=` и т.д.

Как предотвратить доступ к удалению чужих записей на сайте?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт