Показать сообщение отдельно
  #5 (permalink)  
Старый 14.08.2013, 15:21
Аватар для danik.js
Профессор
Отправить личное сообщение для danik.js Посмотреть профиль Найти все сообщения от danik.js
 
Регистрация: 11.09.2010
Сообщений: 8,804

Сообщение от zzzzzz
Получается придется на сервере делать проверку из кучи if-else только для того чтобы проверить один переданный параметр. Ну как так
Естественно. А все потому это единственный безопасный вариант.
Что такое JS? Это просто набор строк интерпретируемого кода. Твой сервер как бы говорит: Привет Клиент, вот тебе код, ты его исполни у себя, и верни результат. Но только не обмани меня, хорошо?

А клиент, как бы отвечает: Ок, Сервер, обещаю. (а в мыслях: ага, блядь, щас. Не на*бешь - не проживешь.) Вот тебе путь, который ты просил:
'/etc/passwd/'.

А сервер: О, спасибки. Это то, что я думаю? Путь к нужному в работе файлу? Ок, отображу его содержимое тебе..

Вот из-за такого доверия и "взламывают" сервера...
Ответить с цитированием