Может ли злоумышленник что либо написать в input hidden?

Question

[del993788]

Здравствуйте. У меня на сайте есть js скрипт, который выполняет некоторые расчеты, и, потом, выводит их в input hidden. Далее эти данные из input hidden передаются в php и затем в бд. Возможно ли в input hidden изменить текст, чтобы этот текст потом ушел в бд?

Comments

[iBird Rose]

азазаа) напугал?)

[del993788]

iBird Rose: да))))

Answer 1

[xmoonlight]

У меня на сайте есть js скрипт, который выполняет некоторые расчеты, и, потом, выводит их в input hidden. Далее эти данные из input hidden передаются в php и затем в бд.

ОМГ!!!!! Лучше сразу делайте поле: "вписать цену" и кнопку "купить".
Любые важные расчёты - должны выполняться на серверной стороне.
Если что-то считаете - делайте это опционом по id-шникам, а уже на сервере - берите значения по этим ID-шникам и выполняйте любые математические операции с ними.

Comments

[del993788]

расчет из js отправляются в php. На php расчет повторяется и, если он равен расчету в js, то в бд добавляется запись. Так?

[xmoonlight]

qqignatqq: нет, расчёт идёт только на php!
на js: только имена/id операндов, т.е. список объектов только, а чему равен каждый из объектов и как именно их нужно посчитать (логика вычислений и формулы) - делаете на php (на сервере).

[del993788]

xmoonlight: такой расчет делать нельзя https://jsfiddle.net/w83kaawt/11/ ?

[xmoonlight]

qqignatqq: нет. только период с датами отправляете на сервер, а всю инфу - считаете уже там.

[del993788]

xmoonlight: а почему же сравнить нельзя? А сделал расчет на js, отправил на php, проверил, если совпало, то дал возможность оплатить, опять проверил и добавил в бд. Если убрать расчет на js, то, как я понимаю, нужно будет добавить кнопку "посчитать", которая будет отправлять запрос в php с датами, там считать и возвращать ответ. Мне вот эта кнопка ой, как не нравится.
А если с другой стороны посмотреть: Если он, злоумышленник, модифицирует сумму оплаты, то в бд будет находится лжесумма. По сути я могу на него заяву написать в милицию. У меня в гостинице сотрудники нашей доблестной его встретят и повяжут. Разве не так это будет?

[xmoonlight]

qqignatqq: Ну... Смотря какая это гостиница (название) и сколько звёзд.

[del993788]

xmoonlight: не уточнил. этот скрипт-расчет нужен для сайта гостиницы. выбираешь даты, получаешь стоимость проживания и оплачиваешь.

[xmoonlight]

qqignatqq: А-а... Верно, не уточнили: название и сколько звёзд у неё?

[Александр Опарин]

qqignatqq: Написать в полицию можете, но вам придется доказать, что это он прислал лжесумму и взломал вашу базу, а не ошибка у вас в скрипте дала такой результат

Answer 2

[Петр]

Можно и даже можно подменить запрос полностью.

Answer 3

[Anton B]

Возможно. Всё что приходит от пользователя нужно проверять на стороне сервера.

Answer 4

[Александр Кубинцев]

Ну а как вы думаете может или нет, если можно открыть Google Chrome с Developer Tools и модифицировать практически что угодно на фронтенде?

Answer 5

[CityCat4]

hidden-ом он является только для обычного юзера, да и тот может догадаться поставить Firebug - и все, Ваш hidden уже нифига не hidden...