Автор Тема: hidden value 21,00$  (Прочетена 6561 пъти)

ANTIADMIN

  • Участник
  • *****
  • Публикации: 660
  • Distribution: Windows XP Pro latest updates
  • ANTIADMIN
    • Профил
hidden value 21,00$
« -: Юли 10, 2009, 14:59 »
Класика в жанра:
Код
GeSHi (HTML):
  1. <INPUT TYPE= HIDDEN NAME="Quantity1" VALUE="1">
  2. <INPUT TYPE= HIDDEN NAME="ChargeType" VALUE="0">
  3. <INPUT TYPE= "HIDDEN" NAME="ItemID1" VALUE="DBA1" size="21">
  4.  
  5. <input type= "HIDDEN" name="Description1" value="******* Database Access - 1 month subscription" size="45">
  6. <INPUT TYPE= "HIDDEN" NAME="Price1" VALUE="21.99">
  7. <INPUT TYPE= "HIDDEN" NAME="RecurringOn" VALUE="1">
  8. <INPUT TYPE= "HIDDEN" NAME="RecurringProductNo" VALUE="DBA1">
  9. <INPUT TYPE= "HIDDEN" NAME="RecurringDescription" VALUE="******** Database Access - 1" size="30">
  10. <INPUT TYPE= "HIDDEN" NAME="RecurringValue" VALUE="21.99">
  11. <INPUT TYPE= "HIDDEN" NAME="RecurringInterval" VALUE="M">
  12. <INPUT TYPE= "HIDDEN" NAME="RecurringConfirmationEmail" VALUE="1">
  13. <INPUT TYPE= "HIDDEN" NAME="RecurringEmail" VALUE="1">
  14. <INPUT TYPE= "HIDDEN" NAME="SoftFile1" VALUE="1">

Има ли вариант това нещо да е правилно, а нарочно да са го сложили така? Как мислите? Дали се проверяват стойностите от другата страна?
« Последна редакция: Ное 28, 2009, 17:59 от VladSun »
Активен

neter

  • Global Moderator
  • Участник
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: hidden value 21,00$
« Отговор #1 -: Юли 10, 2009, 15:06 »
Ще зададеш ли въпроса си и по друг начин, че нещо не мога да разбера какво питаш? Това, което показваш, са стандартни скрити input полета, на които са зададени стойности, които после да се използват като post променливи. Скрити са, за да не се изобразяват на страницата, тъй като са нужни точно определени стойности за тях и не трябва да се дава възможност потребителите да въвеждат стойността им. Само size стойностите им са малко излишни, но това е бял кахър. Кое дали е правилно и защо изпитваш съмнение, че тези post променливи се използват в последствие?
« Последна редакция: Юли 10, 2009, 15:08 от neter »
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

ANTIADMIN

  • Участник
  • *****
  • Публикации: 660
  • Distribution: Windows XP Pro latest updates
  • ANTIADMIN
    • Профил
Re: hidden value 21,00$
« Отговор #2 -: Юли 10, 2009, 15:36 »
Това
<INPUT TYPE= "HIDDEN" NAME="Price1" VALUE="21.99">
какво ми пречи да е
<INPUT TYPE= "HIDDEN" NAME="Price1" VALUE="1.99">
и да го пратя така? Това исках да попитам. Според мен тези "стандартни скрити полета" не трябва да ги има в този им вид.
Активен

neter

  • Global Moderator
  • Участник
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: hidden value 21,00$
« Отговор #3 -: Юли 10, 2009, 16:16 »
Не си казал с каква цел ще се използват тези post променливи след това - за четене, за запис, за проверка... При четенето и проверката няма нищо фатално със стойности на цени - просто ще прочетеш грешни данни, ако такава стойност би върнала нещо. Голям праз, едва ли ще излезе нещо конфиденциално при стойност на цена. При запис, наистина не е най-добрата идея да се праща такава post променлива директно. По-добре е да се използва стойност, която е по-сложна за разбиране, а после, спрямо тази стойност, да се прихваща нужната стойност за цена от някаква база, файл, масив и т.н. Но една добре написана captcha (а не като доста такива, които се мотаят из нета наляво надясно уж като защита, а всъщност са тормоз само за обикновения потребител, тръгнал да си въвежда данните) би попречила да post-неш данни без да използваш формата, дадена на сайта. Така че, отговорът е - зависи как се е представил програмистът в останалата част от изграждането на формата и в останалата част от изграждането на сайта. Ако тази цена не е конфиденциална информация и тази стойност няма да се използва за запис, излишно е да се прави по-скрито ;)
« Последна редакция: Юли 10, 2009, 16:18 от neter »
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

sickmind

  • Гост
Re: hidden value 21,00$
« Отговор #4 -: Ное 28, 2009, 17:20 »
Така че, отговорът е - зависи как се е представил програмистът в останалата част от изграждането на формата и в останалата част от изграждането на сайта. Ако тази цена не е конфиденциална информация и тази стойност няма да се използва за запис, излишно е да се прави по-скрито ;)


Щом така си е написал до тук страницата значи не е направил нищо което да го защити по нататък. Има онлайн магазини на който можеш да променяш цената (накой дори след това доставят, по нет'а има много списъци с такива), има анкети на които така можеш да променяш стойността (например гласуване, какво пречи да така да гласуваш със 99999 точки например ако въжможността е да избираш от 1 до 10) и мнооооого други. Този метод на писане на сайтове е направо тЪп, хиляди ученици си свалят tаmper data плъгин'а за файър фокс и правят поразии по малоумно написаните php скриптове.
Активен

chen_dzen

  • Участник
  • *****
  • Публикации: 623
  • Distribution: Debian 6.0 Squeeze
  • Window Manager: GNOME
    • Профил
Re: hidden value 21,00$
« Отговор #5 -: Юли 14, 2010, 17:38 »
Код
GeSHi (PHP):
  1. <?php
  2. function chek_price($price1, $SQL_SUM) {
  3.  $price1= "210,000,0,000";
  4.  $access = "FALSE";
  5.  
  6.  if (md5($price1) == $SQL_SUM)
  7.   {  $access = "TRUE" ; }
  8.  return $access ;
  9. };
  10. ?>
  11.  
на мен някво еитакова ми се върти в главата  ???
дали ще проработи а ?  :o
« Последна редакция: Юли 15, 2010, 10:01 от VladSun »
Активен

remotex

  • Участник
  • *****
  • Публикации: 344
    • Профил
Re: hidden value 21,00$
« Отговор #6 -: Юли 15, 2010, 09:42 »
chen_dzen а според мен БД трябва да проверява и налага ограниченията за валидиране и цялостност на данните - иначе "утре" като сменят цената напр. от 21,99 на 29,99 кой ще ходи тогава на N на брой места да сменя код писан често от някой друг преди много време?!?

Къде по-лесно е само да се промени в СУБД и да се преведе грешката връща от там защо не приема дадена ст-т :-)

Това със скритите полета обик. се прилага за локална проверка със скрипт още при въвеждането евентулано с цел пестене на излишен трафик, но на днешно време трафика от една подбна форма е "незабележим"...
Активен

edmon

  • Гост
Re: hidden value 21,00$
« Отговор #7 -: Юли 15, 2010, 11:37 »
Това
<INPUT TYPE= "HIDDEN" NAME="Price1" VALUE="21.99">
какво ми пречи да е
<INPUT TYPE= "HIDDEN" NAME="Price1" VALUE="1.99">
и да го пратя така? Това исках да попитам. Според мен тези "стандартни скрити полета" не трябва да ги има в този им вид.

Къде ще го напишеш това?
Активен

neter

  • Global Moderator
  • Участник
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: hidden value 21,00$
« Отговор #8 -: Юли 15, 2010, 13:35 »
Къде ще го напишеш това?
Би имал полза, ако се запознаеш с възможностите на Firebug за Firefox, и подобното на него "Инструменти за програмисти" в Chrome. Вторите могат да се извикат и от десен бутон > Проверка на елемента. Много удобства предоставят при писането на web приложения ;)
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

chen_dzen

  • Участник
  • *****
  • Публикации: 623
  • Distribution: Debian 6.0 Squeeze
  • Window Manager: GNOME
    • Профил
Re: hidden value 21,00$
« Отговор #9 -: Юли 15, 2010, 13:53 »
chen_dzen а според мен БД трябва да проверява и налага ограниченията за валидиране и цялостност на данните - иначе "утре" като сменят цената напр. от 21,99 на 29,99 кой ще ходи тогава на N на брой места да сменя код писан често от някой друг преди много време?!?

Къде по-лесно е само да се промени в СУБД и да се преведе грешката връща от там защо не приема дадена ст-т :-)

Това със скритите полета обик. се прилага за локална проверка със скрипт още при въвеждането евентулано с цел пестене на излишен трафик, но на днешно време трафика от една подбна форма е "незабележим"...
Немажах да те разбреа имаш нешто против че задавам стойност на $price1 , ама рабирасе това е просто  еитака (по случея) апък стоиноста се приема като входен параметър на функцията. Иначе за всяка стока функция трябва да се пише което е луда работа  ;D
Не случаино е price1 като във формата.
« Последна редакция: Юли 15, 2010, 16:59 от chen_dzen »
Активен


Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
скрити услуги на Tor (Tor hidden services) - нямам достъп до нито един .onion
Настройка на програми
vstoykov 0 886 Последна публикация Мар 06, 2010, 06:53
от vstoykov
Hidden wireless network - проблем с opensuse 12.1
Настройка на хардуер
freethedoom 11 2166 Последна публикация Фев 17, 2012, 18:22
от freethedoom