Foro de elhacker.net

Programación => Desarrollo Web => Mensaje iniciado por: z3nth10n en 30 Octubre 2013, 15:56 pm



Título: Sistema de borrado de comentarios sin XSS como?
Publicado por: z3nth10n en 30 Octubre 2013, 15:56 pm
Hola buenas, pues tengo un sistema de comentarios que va por POST, y por consiguiente su sistema de borrado, lo malo es que, a ver como lo explico, tengo que identificar que comentario es, para eso uso dentro de un form un input tipo hidden con su ID en el value, y luego hago una query para borrarlo.

Lo malo es que, como bien sabre si con FireBug editas el source-code, y fácilmente te pueden cagar otros comentarios, o peor la web...

Así que, no se, que me recomendáis que haga?

Gracias.
Un saludo.


Título: Re: Re: Sistema de borrado de comentarios sin XSS como?
Publicado por: jdc en 30 Octubre 2013, 19:43 pm
Asigna una cadena al azar para confirmar que sólo el dueño del mensaje pueda borrar sus mensajes y si alguien más trata de hacerlos manda mensaje de error.


Título: Re: Re: Sistema de borrado de comentarios sin XSS como?
Publicado por: z3nth10n en 1 Noviembre 2013, 10:01 am
Asigna una cadena al azar para confirmar que sólo el dueño del mensaje pueda borrar sus mensajes y si alguien más trata de hacerlos manda mensaje de error.

Gracias por la idea, una pregunta, no hay ninguna manera de que no tenga que poner la ID en el value? Sin tener que usar Jquery o Ajax? Gracias.


Título: Re: Re: Sistema de borrado de comentarios sin XSS como?
Publicado por: jdc en 1 Noviembre 2013, 21:54 pm
Quizás usar el referer pero sería peligroso, el id es lo menos compicado


Título: Re: Sistema de borrado de comentarios sin XSS como?
Publicado por: z3nth10n en 2 Noviembre 2013, 12:20 pm
A ver, estoy usando una string random, tal como tu dices (antes usaba la fecha asi que cambia poco la cosa) y tengo que hacer dos request, uno de cuando carga la web y otro cuando se hace el post, pero no tengo ni puñetera idea de como hacer el primero, quizás con un array? Voy a investigar y os cuento...