Re[2]: Kako 'imitirati' POST method?
Hello Armin,
Thursday, May 13, 2004, 12:30:43 PM, you wrote:
>> Ali ovo može biti i nesigurno, tako da _obavezno_ dodajte i jedno hidden
>> polje koje ima md4/5 hash svih podataka koji se ovako šetaju. Pa ako se
>> po prijemu novogenerisani hash i stari ne poklapaju, neko pravi
>> problema:))
>>
AZ> A jel moze nama smrtnicima objasnjenje sta to sve znachi (a uz to i ne radi
AZ> :)) Ili barem neki koristan link gde ima da se procita.
Hm, ovako kako sam rekao i ne radi, jer neki zloća može da izmeni i md5
hash. A evo šta sam hteo reći...
Podaci koji se preko hidden polja ubacuju u neku drugu su već provereni.
Po submitu nove forme, stari podaci se obično ne proveravaju. Stoga da
bi bili sigurni u validnost, nad svim vrednostima koje idu u hidden +
neki unapred poznat* string proračuna se md5 hash (u perlu je to preko
Digest::MD5->md5_hex) i stavi kao dodatno hidden polje.
md5 je jedinstven za unete podatke i jednosmeran (ne može se na osnovu
md5 hasha provaliti koji su to podaci u pitanju korišćeni za
generisanje).
E sada se po prijemu nove forme proračuna md5 za sve podatke iz hidden
polja (ali ne i iz polja koje nosi md5 hash) i proveri sa ovim poljem.
Ako se poklapaju, sve je ok, nastavlja se sa radom, ali ako se ne
poklapa, eeeeee.
Ovo je bio problem sa nekim sajtovima za prodaju preko interneta (u
samim počecima), kada su se preko hidden polja prenosila trenutna cena i
sve što si naručio. Neko se samo setio, i dodao još proizvoda:)))
--
Best regards,
Nikola mailto:nikkne@gmx.ch
Thursday, May 13, 2004, 12:30:43 PM, you wrote:
>> Ali ovo može biti i nesigurno, tako da _obavezno_ dodajte i jedno hidden
>> polje koje ima md4/5 hash svih podataka koji se ovako šetaju. Pa ako se
>> po prijemu novogenerisani hash i stari ne poklapaju, neko pravi
>> problema:))
>>
AZ> A jel moze nama smrtnicima objasnjenje sta to sve znachi (a uz to i ne radi
AZ> :)) Ili barem neki koristan link gde ima da se procita.
Hm, ovako kako sam rekao i ne radi, jer neki zloća može da izmeni i md5
hash. A evo šta sam hteo reći...
Podaci koji se preko hidden polja ubacuju u neku drugu su već provereni.
Po submitu nove forme, stari podaci se obično ne proveravaju. Stoga da
bi bili sigurni u validnost, nad svim vrednostima koje idu u hidden +
neki unapred poznat* string proračuna se md5 hash (u perlu je to preko
Digest::MD5->md5_hex) i stavi kao dodatno hidden polje.
md5 je jedinstven za unete podatke i jednosmeran (ne može se na osnovu
md5 hasha provaliti koji su to podaci u pitanju korišćeni za
generisanje).
E sada se po prijemu nove forme proračuna md5 za sve podatke iz hidden
polja (ali ne i iz polja koje nosi md5 hash) i proveri sa ovim poljem.
Ako se poklapaju, sve je ok, nastavlja se sa radom, ali ako se ne
poklapa, eeeeee.
Ovo je bio problem sa nekim sajtovima za prodaju preko interneta (u
samim počecima), kada su se preko hidden polja prenosila trenutna cena i
sve što si naručio. Neko se samo setio, i dodao još proizvoda:)))
--
Best regards,
Nikola mailto:nikkne@gmx.ch
- References:
- Re: Kako 'imitirati' POST method?
- From: Aleksandar Jakovljevic <ajakov@galeb.etf.bg.ac.yu>
- Re[2]: Kako 'imitirati' POST method?
- From: Nikola Knezevic <nikkne@gmx.ch>
- Re: Kako 'imitirati' POST method?
- From: "Armin Zeljkovic" <armin@verat.net>
- Re: Kako 'imitirati' POST method?
Previous by date: Visestruki submit
Next by date: Skrolovanje u frejmu
Previous by thread: Re: Kako 'imitirati' POST method? Next by thread: ERWin finalno + pitanje oko ispita
Previous by thread: Re: Kako 'imitirati' POST method? Next by thread: ERWin finalno + pitanje oko ispita