Ajax request met gebruikersID

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Mr Beronne

Mr Beronne

03/05/2015 15:05:13
Quote Anchor link
Ik maak een Ajax request met als data de userId. Deze id haal ik als volgt op, en sla de userId op in een javascript variable:

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
var userId = '<?= 8; ?>';


Nu staat er een getal dit wordt straks een functie die het id ophaald van de ingelogde user.
Als volgt maakt ik mijn request dit werkt allemaal, maar weet niet of het veilig.

Want je kan als gebruiker bron gaan inspecteren en de id aapassen. Is hier een veiligere manier voor.

Voorbeeld van mijn ajax request

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
10
11
12
13
    $.ajax({
        url: file,
        contentType: 'application/json',
        type: "POST",
        dataType: "json",
        data: 8,
        success: function(data) {
            if (data["result"] === "success")
            {
                onSuccess(data);
            }
        }
    });
 
PHP hulp

PHP hulp

28/03/2024 15:01:43
 
Eddy E

Eddy E

03/05/2015 15:14:44
Quote Anchor link
Je zou het kunnen versleutelen, maar dat is niets meer dan alles obscuur maken. Terug te halen is het altijd.

Wat beter is, is gewoon dit NIET via Javascript door te geven, maar in de (php?) die je ophaalt gewoon te kijken naar de sessie.
Dan hoef je heel het user-id niet door te geven.

Aan de andere kant: wat geeft het dat iemand een user-id wijzigt? Dan moet hij geen rechten hebben zal het alleen maar fouten retourneren. Je moet het zo maken dat je als 'data' geen user-id hoeft door te geven. Je PHP of welke programmeertaal dan ook, zal moeten weten wel user-id de aanroep doet.

Als laatste: gebruik geen short-tags, maar schrijf het voluit:

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
var userId = '<?php echo $userid; // 8 ?>';
 
- Ariën  -
Beheerder

- Ariën -

03/05/2015 15:15:33
Quote Anchor link
Een authenticatie doe je nooit client-side maar uitsluitend serverside. Controleren of iemand ingelogd is doe je dan in het PHP-script die je oproept via AJAX.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.