Автор Тема: hidden value 21,00$  (Прочетена 18783 пъти)

ANTIADMIN

  • Напреднали
  • *****
  • Публикации: 660
  • Distribution: Windows XP Pro latest updates
  • ANTIADMIN
    • Профил
hidden value 21,00$
« -: Jul 10, 2009, 14:59 »
Класика в жанра:
Код
GeSHi (HTML):
  1. <INPUT TYPE= HIDDEN NAME="Quantity1" VALUE="1">
  2. <INPUT TYPE= HIDDEN NAME="ChargeType" VALUE="0">
  3. <INPUT TYPE= "HIDDEN" NAME="ItemID1" VALUE="DBA1" size="21">
  4.  
  5. <input type= "HIDDEN" name="Description1" value="******* Database Access - 1 month subscription" size="45">
  6. <INPUT TYPE= "HIDDEN" NAME="Price1" VALUE="21.99">
  7. <INPUT TYPE= "HIDDEN" NAME="RecurringOn" VALUE="1">
  8. <INPUT TYPE= "HIDDEN" NAME="RecurringProductNo" VALUE="DBA1">
  9. <INPUT TYPE= "HIDDEN" NAME="RecurringDescription" VALUE="******** Database Access - 1" size="30">
  10. <INPUT TYPE= "HIDDEN" NAME="RecurringValue" VALUE="21.99">
  11. <INPUT TYPE= "HIDDEN" NAME="RecurringInterval" VALUE="M">
  12. <INPUT TYPE= "HIDDEN" NAME="RecurringConfirmationEmail" VALUE="1">
  13. <INPUT TYPE= "HIDDEN" NAME="RecurringEmail" VALUE="1">
  14. <INPUT TYPE= "HIDDEN" NAME="SoftFile1" VALUE="1">

Има ли вариант това нещо да е правилно, а нарочно да са го сложили така? Как мислите? Дали се проверяват стойностите от другата страна?
« Последна редакция: Nov 28, 2009, 17:59 от VladSun »
Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: hidden value 21,00$
« Отговор #1 -: Jul 10, 2009, 15:06 »
Ще зададеш ли въпроса си и по друг начин, че нещо не мога да разбера какво питаш? Това, което показваш, са стандартни скрити input полета, на които са зададени стойности, които после да се използват като post променливи. Скрити са, за да не се изобразяват на страницата, тъй като са нужни точно определени стойности за тях и не трябва да се дава възможност потребителите да въвеждат стойността им. Само size стойностите им са малко излишни, но това е бял кахър. Кое дали е правилно и защо изпитваш съмнение, че тези post променливи се използват в последствие?
« Последна редакция: Jul 10, 2009, 15:08 от neter »
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

ANTIADMIN

  • Напреднали
  • *****
  • Публикации: 660
  • Distribution: Windows XP Pro latest updates
  • ANTIADMIN
    • Профил
Re: hidden value 21,00$
« Отговор #2 -: Jul 10, 2009, 15:36 »
Това
<INPUT TYPE= "HIDDEN" NAME="Price1" VALUE="21.99">
какво ми пречи да е
<INPUT TYPE= "HIDDEN" NAME="Price1" VALUE="1.99">
и да го пратя така? Това исках да попитам. Според мен тези "стандартни скрити полета" не трябва да ги има в този им вид.
Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: hidden value 21,00$
« Отговор #3 -: Jul 10, 2009, 16:16 »
Не си казал с каква цел ще се използват тези post променливи след това - за четене, за запис, за проверка... При четенето и проверката няма нищо фатално със стойности на цени - просто ще прочетеш грешни данни, ако такава стойност би върнала нещо. Голям праз, едва ли ще излезе нещо конфиденциално при стойност на цена. При запис, наистина не е най-добрата идея да се праща такава post променлива директно. По-добре е да се използва стойност, която е по-сложна за разбиране, а после, спрямо тази стойност, да се прихваща нужната стойност за цена от някаква база, файл, масив и т.н. Но една добре написана captcha (а не като доста такива, които се мотаят из нета наляво надясно уж като защита, а всъщност са тормоз само за обикновения потребител, тръгнал да си въвежда данните) би попречила да post-неш данни без да използваш формата, дадена на сайта. Така че, отговорът е - зависи как се е представил програмистът в останалата част от изграждането на формата и в останалата част от изграждането на сайта. Ако тази цена не е конфиденциална информация и тази стойност няма да се използва за запис, излишно е да се прави по-скрито ;)
« Последна редакция: Jul 10, 2009, 16:18 от neter »
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

sickmind

  • Гост
Re: hidden value 21,00$
« Отговор #4 -: Nov 28, 2009, 17:20 »
Така че, отговорът е - зависи как се е представил програмистът в останалата част от изграждането на формата и в останалата част от изграждането на сайта. Ако тази цена не е конфиденциална информация и тази стойност няма да се използва за запис, излишно е да се прави по-скрито ;)


Щом така си е написал до тук страницата значи не е направил нищо което да го защити по нататък. Има онлайн магазини на който можеш да променяш цената (накой дори след това доставят, по нет'а има много списъци с такива), има анкети на които така можеш да променяш стойността (например гласуване, какво пречи да така да гласуваш със 99999 точки например ако въжможността е да избираш от 1 до 10) и мнооооого други. Този метод на писане на сайтове е направо тЪп, хиляди ученици си свалят tаmper data плъгин'а за файър фокс и правят поразии по малоумно написаните php скриптове.
Активен

chen_dzen

  • Напреднали
  • *****
  • Публикации: 623
  • Distribution: Debian 6.0 Squeeze
  • Window Manager: GNOME
    • Профил
Re: hidden value 21,00$
« Отговор #5 -: Jul 14, 2010, 17:38 »
Код
GeSHi (PHP):
  1. <?php
  2. function chek_price($price1, $SQL_SUM) {
  3.  $price1= "210,000,0,000";
  4.  $access = "FALSE";
  5.  
  6.  if (md5($price1) == $SQL_SUM)
  7.   {  $access = "TRUE" ; }
  8.  return $access ;
  9. };
  10. ?>
  11.  
на мен някво еитакова ми се върти в главата  ???
дали ще проработи а ?  :o
« Последна редакция: Jul 15, 2010, 10:01 от VladSun »
Активен

remotex

  • Напреднали
  • *****
  • Публикации: 344
    • Профил
Re: hidden value 21,00$
« Отговор #6 -: Jul 15, 2010, 09:42 »
chen_dzen а според мен БД трябва да проверява и налага ограниченията за валидиране и цялостност на данните - иначе "утре" като сменят цената напр. от 21,99 на 29,99 кой ще ходи тогава на N на брой места да сменя код писан често от някой друг преди много време?!?

Къде по-лесно е само да се промени в СУБД и да се преведе грешката връща от там защо не приема дадена ст-т :-)

Това със скритите полета обик. се прилага за локална проверка със скрипт още при въвеждането евентулано с цел пестене на излишен трафик, но на днешно време трафика от една подбна форма е "незабележим"...
Активен

edmon

  • Гост
Re: hidden value 21,00$
« Отговор #7 -: Jul 15, 2010, 11:37 »
Това
<INPUT TYPE= "HIDDEN" NAME="Price1" VALUE="21.99">
какво ми пречи да е
<INPUT TYPE= "HIDDEN" NAME="Price1" VALUE="1.99">
и да го пратя така? Това исках да попитам. Според мен тези "стандартни скрити полета" не трябва да ги има в този им вид.

Къде ще го напишеш това?
Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: hidden value 21,00$
« Отговор #8 -: Jul 15, 2010, 13:35 »
Къде ще го напишеш това?
Би имал полза, ако се запознаеш с възможностите на Firebug за Firefox, и подобното на него "Инструменти за програмисти" в Chrome. Вторите могат да се извикат и от десен бутон > Проверка на елемента. Много удобства предоставят при писането на web приложения ;)
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

chen_dzen

  • Напреднали
  • *****
  • Публикации: 623
  • Distribution: Debian 6.0 Squeeze
  • Window Manager: GNOME
    • Профил
Re: hidden value 21,00$
« Отговор #9 -: Jul 15, 2010, 13:53 »
chen_dzen а според мен БД трябва да проверява и налага ограниченията за валидиране и цялостност на данните - иначе "утре" като сменят цената напр. от 21,99 на 29,99 кой ще ходи тогава на N на брой места да сменя код писан често от някой друг преди много време?!?

Къде по-лесно е само да се промени в СУБД и да се преведе грешката връща от там защо не приема дадена ст-т :-)

Това със скритите полета обик. се прилага за локална проверка със скрипт още при въвеждането евентулано с цел пестене на излишен трафик, но на днешно време трафика от една подбна форма е "незабележим"...
Немажах да те разбреа имаш нешто против че задавам стойност на $price1 , ама рабирасе това е просто  еитака (по случея) апък стоиноста се приема като входен параметър на функцията. Иначе за всяка стока функция трябва да се пише което е луда работа  ;D
Не случаино е price1 като във формата.
« Последна редакция: Jul 15, 2010, 16:59 от chen_dzen »
Активен


Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
скрити услуги на Tor (Tor hidden services) - нямам достъп до нито един .onion
Настройка на програми
vstoykov 0 1901 Последна публикация Mar 06, 2010, 06:53
от vstoykov
Hidden wireless network - проблем с opensuse 12.1
Настройка на хардуер
freethedoom 11 4194 Последна публикация Feb 17, 2012, 18:22
от freethedoom