Где вы храните запросы к базе в коде или используйте хранимые процедуры?

Олег,

а более интеллектуальная вещь.

ват?

запросы выполняются только в модели.

ват? Модель вообще не должна быть никакой оберткой, и никаких запросов и в помине выполнять не должна. Это тупая сущность с геттерами и сеттерами. Максимум - еще какие-то доп. фишки но ТОЛЬКО если она закрыта каким-то интерфейсом.

Как ограничить доступ к api сайта?

xmoonlight, да не важно для кого он.. нет смысла защищаться от того, что никто не будет делать. Тем более такими тупыми способами.

КОРС - как раз таки актуальный и правильный ответ. ТСу нужна защита ЮЗЕРОВ, а не АПИ, цитирую:

dadata.ru именно ограничением домена защищает токен пользователя от левых пассажиров

Где лучше всего разместить инициализационные файлы сторонних библиотек в slim framework или иных микрофреймворках?

kafkiansky, не надоест. Зато будет типизация, простой поиск и кастомизация этого самого правила.

Как ограничить доступ к api сайта?

xmoonlight, и что это даст? Кто будет настолько тупым, что бы полагатся на твое открытое АПИ, без какой-либо документации, поддержки, гарантии? Да никто. В чем тогда смысл? Ну не смогут они курлом дергать (хотя не вижу причины делать даже этого), и?

Как ограничить доступ к api сайта?

xmoonlight, я уже говорил, что ЛУЧШЕЕ ПРЕДЛОЖЕНИЕ - не делать НИЧЕГО. Это НЕ решаемая задача. Это так же тупо (сюрприз сюрприз, копирую текст сверху который ты тупо пропустил), как и client-side античиты, над которыми явно работают команды поумнее нас с тобой.

И опять повторю то, что ты упорно проигнорировал: кому будет нужен твой API - достанет его. Кому не нужен - даже пытатся не будут.

Как ограничить доступ к api сайта?

xmoonlight, жду ответа на свой аргумент. Если ты не можешь стабильно хотя бы отвечать на мои, не то что бы называть свои, то этот разговор идет в никуда.

Как ограничить доступ к api сайта?

xmoonlight,
1. автор не знает, чего хочет, раз задает тут вопросы.
2. и что это дает? Посчитаешь сколько запросов было в обход? А дальше что?

Других (и вообще) вариантов кроме реальной авторизации НЕТУ. Не существует и НЕ должно существовать.

Простой пример - client-side античиты в играх. Сколько времени и сил вбухано в эти кривые куски говна, из-за которых приходилось каждый раз выключать hyper-v и перезагружаться, которые работают только под виндой, которые опираются на какие-то дырки в ОСе - и все равно в играх триллион читеров и триллион разных способов обхода этих античитов.

Или ты считаешь, что твоя защита лучше того, над чем работают отдельные компании, защиту которых в любом случае обходят ЭНТУЗИАСТЫ? А если кому-то и будет нужна твоя АПИшка, то это компания, которая увидела в этом потенциальный зароботок и которая готова вбухать в это и неделю работы нескольких программистов...

С чего бы это было минусом в мою репутацию - я хз. Это минус в твою репутацию, ибо ты просто показываешь, что тебе нельзя доверять разработку проектов, раз ты считаешь что это говно-решение (которое и не есть решением вовсе) есть чем-то, что действительно стоит реализовывать.

Как ограничить доступ к api сайта?

xmoonlight, с "ЛЮБОЙ" задачей должен точно так же справляться ЛЮБОЙ отсталый встроенный браузер на андроиде 6 за $200. Поэтому эта "ЛЮБАЯ" задача - это максимум хэшей несколько посчитать.

Если кому-то будет нужен твой API (в чем я дико сомневаюсь, почему-то), то это НЕ трудозатратно. Это на половину рабочего дня работы и минимальное кол-во ресурсов. Чем тут поможет аналитика - я не понимаю.

Как ограничить доступ к api сайта?

xmoonlight, дебаггер и рантайм это аргумент. Я уже отвечал на твое "почему?" - бэку насрать, откуда он эти данные получил. Сгенерировался этот JS на бэке, злоумышленник запустил его eval'ом и получил ответ, отправил на бэк.

Тупо выдрал JS код с клиента, который парсит респонс бэка, и запускает его сам. Где тут защита? Это "насколько это возможно: проверять, что среда исполнения - это реальный браузер"? Я уже говорил, что в рантайме перебить что либо на js'е - элементарно. Зафейкать браузер - тоже.

И даже если ты каждый день будешь проверки добавлять, можно будет тупо поднять prerender на headless chrome и все.

Как ограничить доступ к api сайта?

xmoonlight, у angularjs 60 тысяч звезд и 30к форков. Это не значит, что его стоит использовать.

И ты явно забыл о теме разговора.

Как ограничить доступ к api сайта?

xmoonlight, в чем полезность то? Так нравится общаться с людьми, которые очевидно не могут аргументировать свои слова, посему вдаются с такое дикое отрицание)

Как ограничить доступ к api сайта?

xmoonlight, аа, так "бесполезен для копи-пасты" и есть причина, почему это есть в отдельном репо на гите, с лицензией, демкой и ветками для разных версих? Ага, хорошо)

Как ограничить доступ к api сайта?

xmoonlight, ну и что? Я говорю о реверс инжениринге. Бэк тут вообще ни при чем. Бэк получает данные и проверяет их. Если ты можешь подделать эти данные, то какая разница какие там проверки тайминга на бэке?

Впрочем, чего это я ожидаю от такого лицемера (цитирую:

Как школота Toster.ru в лице модераторов (или наоборот) издевается над топовыми пользователями

), пишущего такую дичь, как не свои велосипедики.

Как ограничить доступ к api сайта?

xmoonlight, ты же в курсе, что есть дебаггер, прямо в браузере, которому ваши 5 секунд не сдались? В курсе, что setInterval/setTimeout можно перебить в рантайме? А если эти две вещи не сработают, то вытянуть это самому будет не сложно.

Ваша защита - говно. Точка.

Как ограничить доступ к api сайта?

xmoonlight, и.. что? CORS и CSP более чем достаточно для защиты ПОЛЬЗОВАТЕЛЕЙ вашего сайта.

А если кому-то захочется вашу апишку дергать каким-нить ботом, то он за 4-8 часов реверс инженирнет любой ваш "обфусцированный js" (даже смешно js рядом с обфускацией ставить). Толку ноль, возни - масса, поддержка - нулевая.

Как ограничить доступ к api сайта?

Какой же бред.... какой же бред... я даже говорить ничего не буду, одного слова достаточно: CORS!

Почему не могу выполнить миграцию Laravel что не так я сделал?

Сколько скриншотов.. и ни одной попытки решить проблему самому. Например ошибку прочесть, ну или доки почитать..

Как в laravel 5.8 накатить миграцию и выполнять тесты из тестого .env.testing окружения?

EVOSandru6, какая конкретно 500, и при чем тут .env?

Какой язык программирования для Back-end производительнее?

Кирилл Горелов, а я говорил о скорости? Я же специально написал "читайте - " - вы читали?

Как в laravel 5.8 накатить миграцию и выполнять тесты из тестого .env.testing окружения?

EVOSandru6, ну есть три варианта:
1) не менять вообще ничего, запускать тесты на своей базе. DatabaseTransactions трейт в каждом тесте.
2) менять вручную в .env, в идеешке легенько ctrl + / несколько раз и усе
3) забить в phpunit.xml наглухо (херовый вариант)

RefreshDatabase не рекомендую - очень медленно тесты запускать, да и смысл, если есть DatabaseTransactions?