Кошерная передача данных через web-форму. Почти велосипед

29 января 2016, 14:00

Кошерная передача данных через web-форму.

Кошерная передача данных через web-форму. Первый уровень абстракции. Однажды местному автору понадобилась функция управления Вселенной из любого места и с любого устройства. Грубо говоря, через заурядный браузер. Как-то ещё проще придумать не получается. Но, поскольку страшно даже представить, какая беда случится, если в интерфейс управления Вселенной попадёт кто ни попадя, здесь требуется надёжная защита от несанкционированного доступа. По сути проблемы как бы и нет, всё давно придумано до нас.
03 февраля 2016, 20:11

№ 6Почти велосипед

Вот правда, поражает, что всё ещё очень многие разработчики крупных сайтов не додумались защищать формы.

Например в Laravel (такой фреймворк) уже давным давно есть CSRF-защита. Она призвана пропускать POST-запросы только с сайта на котором сгенерирована форма. И даже проверяет время формирования хэша и время отправки запроса. И если перерыв существенен, то кидает ошибку.
А если ещё посмотреть в сторону уязвимостей mysql инъекций...

Используйте изначально эффективные и правильные инструменты для разработки и будет вам счастье.

Интересно, как местный автор относится к Laravel?
Никак не относится.

Проверку источника формы он юзал ещё 12 лет назад.
Для всего остального фреймворк не нужен.
Достаточно несколько десятков строк кода.

Про велосипед можно разные слова говорить, но на уровне зелёной (дубовой войсковой, а потому самой правильной) логики, собственноручно написанное решение завсегда понятнее, чем чуждый сознанию фреймворк, неведомо, как работающий.

Звучит кощунственно, но если провести аналогию между чуждым сознанию фреймворком и всякими там Джумлой с Вордпрессом, которые ломают, только шум стоит, то юзать велосипед поспокойнее будет.
Владимир