Foros del Web » Programando para Internet » Jquery »

envío de datos seguro, js>php

Estas en el tema de envío de datos seguro, js>php en el foro de Jquery en Foros del Web. Muy buenas estimados. Invoco sus magnos conocimientos para resolver esta problemática que me afecta: Estoy intentando llenar una tabla dinámica la cual se actualiza periódicamente ...
  #1 (permalink)  
Antiguo 07/07/2015, 09:35
 
Fecha de Ingreso: enero-2012
Mensajes: 21
Antigüedad: 12 años, 10 meses
Puntos: 0
envío de datos seguro, js>php

Muy buenas estimados.

Invoco sus magnos conocimientos para resolver esta problemática que me afecta:

Estoy intentando llenar una tabla dinámica la cual se actualiza periódicamente cada "n" segundos, donde a través de ajax envío un id (via post) a un archivo php, el cual me devuelve lo que busco (hasta ahi todo bien), adjunto un ejemplo.

Código:
$.ajax({
        url: 'consultaTabla.php',
        type: "POST",
        data: JSON.stringify({ /*aqui seteo el dato que envio*/ }),
        dataType: "json",
        contentType: "application/json",
        success: function (output) {
            //aqui es donde genero la tabla
      }
El problema es el siguiente...

Los datos que yo envío, junto con el nombre del archivo PHP son visibles, por lo tanto cualquiera podría enviar cualquier dato para obtener toda la información que entrega este archivo.

Yo necesito que esta info sea privada.

Agradeceré cualquier ayuda, de antemano gracias.
  #2 (permalink)  
Antiguo 07/07/2015, 09:42
Avatar de Alexis88
Philosopher
 
Fecha de Ingreso: noviembre-2011
Ubicación: Tacna, Perú
Mensajes: 5.552
Antigüedad: 13 años, 1 mes
Puntos: 977
Respuesta: envío de datos seguro, js>php

Podrías tener el dato a enviar en un campo oculto, pero aún así, sería visible desde la consola del navegador incluso usando Ajax.

Lo mejor será que valides del lado del servidor. Si no quieres que cualquiera acceda a la información que devuelve el archivo PHP, crea una restricción en el mismo, por ejemplo, podrías crear un token y guardarlo en una sesión, luego, mientras el usuario permanezca en la página, solo tendrá ese token y solo existiendo ese valor podrá acceder a la información. La ventaja de esto es que las sesiones a las que me refiero solo trabajan del lado del servidor.

Una referencia

Saludos
__________________
«Juro por mi vida y mi amor por ella, que jamás viviré para el provecho de otro hombre, ni le pediré a otro hombre que viva para el mío».

Ayn Rand
  #3 (permalink)  
Antiguo 07/07/2015, 10:00
 
Fecha de Ingreso: enero-2012
Mensajes: 21
Antigüedad: 12 años, 10 meses
Puntos: 0
Respuesta: envío de datos seguro, js>php

Claro, ya lo había pensado, cree una web con variables de sesión (PHP) donde internamente se envían para cargar los datos directo desde la BD, el problema es que al hacerlo así, no puedo actualizar la tabla periódicamente cada "n" segundos.

gracias de todas formas.
  #4 (permalink)  
Antiguo 07/07/2015, 13:10
Avatar de Alexis88
Philosopher
 
Fecha de Ingreso: noviembre-2011
Ubicación: Tacna, Perú
Mensajes: 5.552
Antigüedad: 13 años, 1 mes
Puntos: 977
Respuesta: envío de datos seguro, js>php

¿Y por qué no podrías hacerlo?
__________________
«Juro por mi vida y mi amor por ella, que jamás viviré para el provecho de otro hombre, ni le pediré a otro hombre que viva para el mío».

Ayn Rand
  #5 (permalink)  
Antiguo 07/07/2015, 13:13
 
Fecha de Ingreso: enero-2012
Mensajes: 21
Antigüedad: 12 años, 10 meses
Puntos: 0
Respuesta: envío de datos seguro, js>php

mmm... estuve pensando que la única forma de hacerlo seria con un ciclo infinito en PHP, pero creo que eso seria una masacre al servidor.

de que forma lo harias tu?
  #6 (permalink)  
Antiguo 07/07/2015, 13:36
Avatar de Alexis88
Philosopher
 
Fecha de Ingreso: noviembre-2011
Ubicación: Tacna, Perú
Mensajes: 5.552
Antigüedad: 13 años, 1 mes
Puntos: 977
Respuesta: envío de datos seguro, js>php

Si van a ser peticiones constantes, puedes optar por los websockets, pero antes de intentar implementar esta tecnología, debes de estar seguro de que es necesario hacerlo del modo en el que lo planteas pues quizá no es necesario.

Saludos
__________________
«Juro por mi vida y mi amor por ella, que jamás viviré para el provecho de otro hombre, ni le pediré a otro hombre que viva para el mío».

Ayn Rand
  #7 (permalink)  
Antiguo 08/07/2015, 10:41
 
Fecha de Ingreso: enero-2012
Mensajes: 21
Antigüedad: 12 años, 10 meses
Puntos: 0
Respuesta: envío de datos seguro, js>php

me da la impresión que la mejor opción que tengo es encriptar los datos que estoy enviando junto a una contraseña y en lado del servidor solo dar resultados después de comprobar la contraseña, ademas añadir un contador en una variable de session por si están intentando enviar datos que no corresponden y una vez el contador llegue a una cantidad determinada no dar mas resultados.
  #8 (permalink)  
Antiguo 10/07/2015, 03:17
 
Fecha de Ingreso: febrero-2013
Mensajes: 115
Antigüedad: 11 años, 10 meses
Puntos: 5
Respuesta: envío de datos seguro, js>php

cuando tenemos informacion privada en nuestra web debemos hacer un sistema de usuarios... o sea loguearnos para poder ver esa informacion... o por lo menos para poder ver la informacion que tu no quieres que vean... esa es la mejor opcion...
__________________
http://tutorialesdelweb.blogspot.com/TutorialesWeb(principiantes)
  #9 (permalink)  
Antiguo 10/07/2015, 08:34
 
Fecha de Ingreso: enero-2012
Mensajes: 21
Antigüedad: 12 años, 10 meses
Puntos: 0
Respuesta: envío de datos seguro, js>php

claro eso no esta en discusión, de hecho mi web tiene sesiones y control de usuarios, el tema es como obtener los datos de manera dinámica, (por ejemplo cargar los datos de una tabla cada "n" minutos) sin arriesgarse a que alguien intente obtener mas datos aparte de los que yo les doy acceso.
  #10 (permalink)  
Antiguo 10/07/2015, 09:08
Avatar de Alexis88
Philosopher
 
Fecha de Ingreso: noviembre-2011
Ubicación: Tacna, Perú
Mensajes: 5.552
Antigüedad: 13 años, 1 mes
Puntos: 977
Respuesta: envío de datos seguro, js>php

Para eso debes de establecer niveles de acceso. Por ejemplo, en una tabla de la BD tendrías a los usuarios y en otra dependiente, los niveles a los cuales cada uno tiene acceso. Cuando el usuario intente obtener datos, verificarías qué niveles de acceso posee y según sean estos, se le muestran los datos para los cuales tiene los permisos necesarios.

Probablemente tengas que reestructurar tu BD, pero será lo mejor si deseas seguridad.

Saludos
__________________
«Juro por mi vida y mi amor por ella, que jamás viviré para el provecho de otro hombre, ni le pediré a otro hombre que viva para el mío».

Ayn Rand
  #11 (permalink)  
Antiguo 10/07/2015, 09:28
 
Fecha de Ingreso: enero-2012
Mensajes: 21
Antigüedad: 12 años, 10 meses
Puntos: 0
Respuesta: envío de datos seguro, js>php

Creo que están confundiendo las cosas...

Ya tengo tabla de usuarios y también de roles, el problema, como lo comente en un principio es que, aunque un usuario no tenga los roles para obtener cierta información, si este edita los datos que se envían por AJAX podría por ejemplo sustituir el id de su rol y obtener mas información de lo debido.

Por ello implemente un método de 3 niveles de seguridad

Primero: en PHP encripto toda la información que enviare por AJAX, y solo se puede desencriptar esta información del lado del servidor con una clave.

Segundo: dentro de los datos encriptados que envío, va una segunda clave, en el lado del servidor comparo esta clave y de no concordar anulo la operacion.

Tercero: en los datos que envio, también van los datos del usuario y en el lado del servidor vuelvo a consultar la DB para comparar estos datos, si estos no concuardan cancelo la operacion.

por ultimo, si cualquiera de estros pasos anula la operación, quedara un registro en la sesión, cuando la cantidad de registros llegue a un numero determinado, el servidor dejara de entregar resultados.
  #12 (permalink)  
Antiguo 10/07/2015, 09:50
Avatar de Alexis88
Philosopher
 
Fecha de Ingreso: noviembre-2011
Ubicación: Tacna, Perú
Mensajes: 5.552
Antigüedad: 13 años, 1 mes
Puntos: 977
Respuesta: envío de datos seguro, js>php

Si dices que estás usando sesiones, entonces, esto no debería de ser una preocupación. Simplemente añade los permisos en la sesión y problema resuelto. Podrías guardar un array en la sesión con el código identificador del usuario y los niveles de acceso. Al estar esto en el lado del servidor, lo que el usuario haga en el lado del cliente, no deberá de representar una preocupación para ti.

Saludos
__________________
«Juro por mi vida y mi amor por ella, que jamás viviré para el provecho de otro hombre, ni le pediré a otro hombre que viva para el mío».

Ayn Rand

Etiquetas: javascript, js, php, seguro
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 08:35.