Sistema de borrado de comentarios sin XSS como?

Iniciado por z3nth10n, 30 Octubre 2013, 15:56 PM

0 Miembros y 2 Visitantes están viendo este tema.

z3nth10n

Hola buenas, pues tengo un sistema de comentarios que va por POST, y por consiguiente su sistema de borrado, lo malo es que, a ver como lo explico, tengo que identificar que comentario es, para eso uso dentro de un form un input tipo hidden con su ID en el value, y luego hago una query para borrarlo.

Lo malo es que, como bien sabre si con FireBug editas el source-code, y fácilmente te pueden cagar otros comentarios, o peor la web...

Así que, no se, que me recomendáis que haga?

Gracias.
Un saludo.

Interesados hablad por Discord.

jdc

Asigna una cadena al azar para confirmar que sólo el dueño del mensaje pueda borrar sus mensajes y si alguien más trata de hacerlos manda mensaje de error.

z3nth10n

Cita de: jdc en 30 Octubre 2013, 19:43 PM
Asigna una cadena al azar para confirmar que sólo el dueño del mensaje pueda borrar sus mensajes y si alguien más trata de hacerlos manda mensaje de error.

Gracias por la idea, una pregunta, no hay ninguna manera de que no tenga que poner la ID en el value? Sin tener que usar Jquery o Ajax? Gracias.

Interesados hablad por Discord.

jdc

Quizás usar el referer pero sería peligroso, el id es lo menos compicado

z3nth10n

A ver, estoy usando una string random, tal como tu dices (antes usaba la fecha asi que cambia poco la cosa) y tengo que hacer dos request, uno de cuando carga la web y otro cuando se hace el post, pero no tengo ni puñetera idea de como hacer el primero, quizás con un array? Voy a investigar y os cuento...

Interesados hablad por Discord.