Podría tener algún problema de seguridad con este script??

cybnet · #1 (**permalink**) 10/03/2011, 07:00

Tengo un textarea, recojo el contenido con javascript y hago una llamada ajax, todo con jQuery:

El javascript:

Código:

funcion sendreport {
  var mstr = ""+jQuery("#mstr"+id).val()+"";
  if(mstr=="") {
     jQuery("div.status-"+id).append("<p class=\"warning\">Please fille the form</p>");
  } else {
    loading(id);
    my_ajax(id,"report",mstr);
  }
}
function my_ajax(id,type,mstr){
     var thedata = "task="+type+"&article_id="+id;
     if(type=="report" && mstr!="") {
      thedata += "&str="+encodeURIComponent(mstr);
     }
     jQuery.ajax({
        cache: false,
        data: thedata,
        type: "GET",
        dataType: "json",
        url: uribase+"plugins/assets/ajax.php",
        success: function(data){ voteresults(data,id,type); }
    });
}
.....

En el lado del servidor realizo algunas operaciones en la base de datos, hacer un get de forma segura, conexión y consulta a la base datos, etc, lo tengo solucionado , solo me queda saber si es suficiente con hacer un stip_tags de php al contenido recogido del textarea y si el código javascript es seguro.

Muchísimas gracias a quien me pueda ayudar.

zerokilled · #2 (**permalink**) 10/03/2011, 21:56

buenas...

a mi modo de ver la seguridad en el lado cliente nunca ha sido una solucion adecuada. especificamente porque el contenido es facil de manipular. lo que debes preocuparte es por el lado servidor. creo que los temas que mas te debe interesar es sobre ataques XSS e inyecciones SQL. no puedo abundar en ello porque no trabajo del lado servidor pero puedes buscar por esos terminos.