envío de datos seguro, js>php

FEX_01 · #1 (**permalink**) 07/07/2015, 09:35

Muy buenas estimados.

Invoco sus magnos conocimientos para resolver esta problemática que me afecta:

Estoy intentando llenar una tabla dinámica la cual se actualiza periódicamente cada "n" segundos, donde a través de ajax envío un id (via post) a un archivo php, el cual me devuelve lo que busco (hasta ahi todo bien), adjunto un ejemplo.

Código:

$.ajax({
        url: 'consultaTabla.php',
        type: "POST",
        data: JSON.stringify({ /*aqui seteo el dato que envio*/ }),
        dataType: "json",
        contentType: "application/json",
        success: function (output) {
            //aqui es donde genero la tabla
      }

El problema es el siguiente...

Los datos que yo envío, junto con el nombre del archivo PHP son visibles, por lo tanto cualquiera podría enviar cualquier dato para obtener toda la información que entrega este archivo.

Yo necesito que esta info sea privada.

Agradeceré cualquier ayuda, de antemano gracias.

Alexis88 · #2 (**permalink**) 07/07/2015, 09:42

Podrías tener el dato a enviar en un campo oculto, pero aún así, sería visible desde la consola del navegador incluso usando Ajax.

Lo mejor será que valides del lado del servidor. Si no quieres que cualquiera acceda a la información que devuelve el archivo PHP, crea una restricción en el mismo, por ejemplo, podrías crear un token y guardarlo en una sesión, luego, mientras el usuario permanezca en la página, solo tendrá ese token y solo existiendo ese valor podrá acceder a la información. La ventaja de esto es que las sesiones a las que me refiero solo trabajan del lado del servidor.

Una referencia

Saludos

FEX_01 · #3 (**permalink**) 07/07/2015, 10:00

Claro, ya lo había pensado, cree una web con variables de sesión (PHP) donde internamente se envían para cargar los datos directo desde la BD, el problema es que al hacerlo así, no puedo actualizar la tabla periódicamente cada "n" segundos.

gracias de todas formas.

Alexis88 · #4 (**permalink**) 07/07/2015, 13:10

¿Y por qué no podrías hacerlo?

FEX_01 · #5 (**permalink**) 07/07/2015, 13:13

mmm... estuve pensando que la única forma de hacerlo seria con un ciclo infinito en PHP, pero creo que eso seria una masacre al servidor.

de que forma lo harias tu?

Alexis88 · #6 (**permalink**) 07/07/2015, 13:36

Si van a ser peticiones constantes, puedes optar por los websockets, pero antes de intentar implementar esta tecnología, debes de estar seguro de que es necesario hacerlo del modo en el que lo planteas pues quizá no es necesario.

Saludos

FEX_01 · #7 (**permalink**) 08/07/2015, 10:41

me da la impresión que la mejor opción que tengo es encriptar los datos que estoy enviando junto a una contraseña y en lado del servidor solo dar resultados después de comprobar la contraseña, ademas añadir un contador en una variable de session por si están intentando enviar datos que no corresponden y una vez el contador llegue a una cantidad determinada no dar mas resultados.

horusorion · #8 (**permalink**) 10/07/2015, 03:17

cuando tenemos informacion privada en nuestra web debemos hacer un sistema de usuarios... o sea loguearnos para poder ver esa informacion... o por lo menos para poder ver la informacion que tu no quieres que vean... esa es la mejor opcion...

FEX_01 · #9 (**permalink**) 10/07/2015, 08:34

claro eso no esta en discusión, de hecho mi web tiene sesiones y control de usuarios, el tema es como obtener los datos de manera dinámica, (por ejemplo cargar los datos de una tabla cada "n" minutos) sin arriesgarse a que alguien intente obtener mas datos aparte de los que yo les doy acceso.

Alexis88 · #10 (**permalink**) 10/07/2015, 09:08

Para eso debes de establecer niveles de acceso. Por ejemplo, en una tabla de la BD tendrías a los usuarios y en otra dependiente, los niveles a los cuales cada uno tiene acceso. Cuando el usuario intente obtener datos, verificarías qué niveles de acceso posee y según sean estos, se le muestran los datos para los cuales tiene los permisos necesarios.

Probablemente tengas que reestructurar tu BD, pero será lo mejor si deseas seguridad.

Saludos

FEX_01 · #11 (**permalink**) 10/07/2015, 09:28

Creo que están confundiendo las cosas...

Ya tengo tabla de usuarios y también de roles, el problema, como lo comente en un principio es que, aunque un usuario no tenga los roles para obtener cierta información, si este edita los datos que se envían por AJAX podría por ejemplo sustituir el id de su rol y obtener mas información de lo debido.

Por ello implemente un método de 3 niveles de seguridad

Primero: en PHP encripto toda la información que enviare por AJAX, y solo se puede desencriptar esta información del lado del servidor con una clave.

Segundo: dentro de los datos encriptados que envío, va una segunda clave, en el lado del servidor comparo esta clave y de no concordar anulo la operacion.

Tercero: en los datos que envio, también van los datos del usuario y en el lado del servidor vuelvo a consultar la DB para comparar estos datos, si estos no concuardan cancelo la operacion.

por ultimo, si cualquiera de estros pasos anula la operación, quedara un registro en la sesión, cuando la cantidad de registros llegue a un numero determinado, el servidor dejara de entregar resultados.

Alexis88 · #12 (**permalink**) 10/07/2015, 09:50

Si dices que estás usando sesiones, entonces, esto no debería de ser una preocupación. Simplemente añade los permisos en la sesión y problema resuelto. Podrías guardar un array en la sesión con el código identificador del usuario y los niveles de acceso. Al estar esto en el lado del servidor, lo que el usuario haga en el lado del cliente, no deberá de representar una preocupación para ti.

Saludos