Безопасность при передаче важных данных по AJAX

[Ramundo]

Так вот, допустим, у меня есть серверный скрипт с SQL-запросом на получение фотографий пользователей. Он принимает в качестве post-данных id пользователя и выдает массив ссылок на фотографии.

Есть также JS скрипт, который отправляет AJAX-запросом этот самый ID.

Вопрос такой - может ли пользователь как-то подделать ID, чтобы получить чужие фотки?

[laimas]

А что значит подделать, если ID и так задает клиент?

[Ramundo]

Да, я вот думаю, лучше вопрос так было задать:
Может ли пользователь подделать AJAX запрос и вообще код JS?

[fuckingquest]

Ramundo,
Да, вроде, на вскидку, не вижу препятствий, если специальных мер для этого не предусмотрено. Нужно проверять, действительно ли пользователь запрашивает фотки со своим id.

[fuckingquest]

Сообщение от Ramundo

Может ли пользователь подделать AJAX запрос и вообще код JS?

может. Ajax -- запрос -- это обычный запрос. На сетевом уровне нет, по-моему, разницы

[laimas]

Сообщение от fuckingquest

Нужно проверять, действительно ли пользователь запрашивает фотки со своим id.

Вот и ответ на вопрос - по крайней мере пользователь должен войти под своим аккаунтом, а сервер знать его ID. А так ваш серверный код получает ID от клиента, а это может быть и бот, хоть клиентский, хоть серверный.

[laimas]

Сообщение от Ramundo

Может ли пользователь подделать AJAX запрос и вообще код JS?

Подделать можно все, и для этого даже страницу вашу открывать не надо, запросы можно слать и с сервера.