2
Kann man eine Datenbank aufgrunf von jQuery angreifen?
Hallo ihr Administratoren,
auf meiner Website habe ich ein schönes Registrierungsformular, die Daten werden über jQuery zu dem Server gesendet. Außerdem habe ich auch einen Captcha von Google als Sicherheit drauf, der den Datenbankserver vor Bots schützen soll.
Wenn ein User jetzt aber alle Parameter sieht, kann er ja einfach ein Programm schreiben, was die Parameter enthält und den public Key, oder nicht? Der punlic Key wird in dem PHP Script nochmal extra überprüft, geht das so leicht, wie ich mir das jetzt vorstelle?
Und erst wenn die Variable $captchaSuccess den Wert 1 hat, werden die Daten in die Datenbank eingetragen. Aber über die Browser Konsole kann ja jeder User - der halbwegs Ahnung hat - den public Key rauskriegen und diesen dann in ein Programm einfügen, oder?
auf meiner Website habe ich ein schönes Registrierungsformular, die Daten werden über jQuery zu dem Server gesendet. Außerdem habe ich auch einen Captcha von Google als Sicherheit drauf, der den Datenbankserver vor Bots schützen soll.
Wenn ein User jetzt aber alle Parameter sieht, kann er ja einfach ein Programm schreiben, was die Parameter enthält und den public Key, oder nicht? Der punlic Key wird in dem PHP Script nochmal extra überprüft, geht das so leicht, wie ich mir das jetzt vorstelle?
if($captcha != '') {
$secret = "...";
$ip = $_SERVER["REMOTE_ADDR"];
$var = file_get_contents("https://www.google.com/recaptcha/api/siteverify?secret=$secret&response=$captcha&remoteip=$ip");
$array = json_decode($var, true);
if($array['success']) {
$captchaSuccess = 1;
} else {
$captchaSuccess = 0;
}
} else {
$captchaSuccess = 0;
}Und erst wenn die Variable $captchaSuccess den Wert 1 hat, werden die Daten in die Datenbank eingetragen. Aber über die Browser Konsole kann ja jeder User - der halbwegs Ahnung hat - den public Key rauskriegen und diesen dann in ein Programm einfügen, oder?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 326861
Url: https://administrator.de/contentid/326861
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
2 Kommentare
Neuester Kommentar
Welche Variable in deinem Skript nennst du im Text den Public Key? Generell muss eine Nutzereingabe im Backend geprüft werden, da ein Angreifer ja, wie du selbst bemerkt hast, das Frontend kontrolliert.
Naja der captcha läuft über Google. Dazu habe ich einen public und einen private key. Den public key kann man mit der Browser Console herauskriegen. Wie kann man dies nicht sicherer machen?
