Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Estou fazendo um sistema de login e cadastro, porem percebi que minhas variáveis ficam expostas no javascript, tem algum problema isso? é possível eu sofrer alguma quebra no sistema?
<script type="text/javascript">
function signin(){
var name = $('#cpnome').val();
var lastname = $('#cpsobrenome').val();
var day = $('#cpselectdia').val();
var month = $('#cpselectmes').val();
var year = $('#cpselectano').val();
var rg = $('#cprg').val();
var cpf = $('#cpcpf').val();
var dddphone = $('#cpdddphone').val();
var phone = $('#cpphone').val();
var dddsmartphone = $('#cpdddsmartphone').val();
var smartphone = $('#cpsmartphone').val();
var state = $('#cpselectestado').val();
var city = $('#cpselectcidade').val();
var neighborhood = $('#cpselectbairro').val();
var street = $('#cprua').val();
var number = $('#cpn').val();
var cep = $('#cpcep').val();
var email = $('#cpemail').val();
var password = $('#cpsenha').val();
var passwordconfirm = $('#cpsenhanovamente').val();
$.ajax({
url: 'signin.php',
type: 'POST',
data:
'name='+name
+'&lastname='+lastname
+'&day='+day
+'&month='+month
+'&year='+year
+'&rg='+rg
+'&cpf='+cpf
+'&dddphone='+dddphone
+'&phone='+phone
+'&dddsmartphone='+dddsmartphone
+'&smartphone='+smartphone
+'&state='+state
+'&city='+city
+'&neighborhood='+neighborhood
+'&street='+street
+'&number='+number
+'&cep='+cep
+'&email='+email
+'&password='+password
+'&passwordconfirm='+passwordconfirm
}).done(function(resp){
if (resp=='1') {
//location.href='index.php';
}else{
document.getElementById("respsignin").style.display = "block";
document.getElementById("respsignin").innerHTML=resp;
}
});
}
</script>Amigo... Faça um form e se utilize do botão submit... Então utilize o evento submit()... Depois, pegue tudo com serialize() ... Caso queira rodar este evento quando carregar a página, ou algo do tipo, sem que "haja determiando clique" ... utilize trigger()...
Qualquer dado você deve validar... você pode validar com JS, antes... e obrigatoriamente validar na página que recebe o método post, todos estes valores... utilize prepare do PDO para inserir no banco de dados... Você pode enviar um token... para verificar se este saiu da página desejada... tem muitas coisas para fazer um sistema seguro... "mais ou menos" é isso...
E qual exatamente seria a "insegurança" neste caso? Veja que não existe nenhuma diferença entre o cara ver isto e ver os nomes dos campos do formulários de login...
Então penso que por as variáveis estarem expostas facilite a insegurança do meu site podendo vazar dados e etc, estou meio confuso primeira vez que faço um sistema de login usando ajax decidi usa-lo por questão de fazer um sistema dinâmico...
>
Amigo... Faça um form e se utilize do botão submit... Então utilize o evento submit()... Depois, pegue tudo com serialize() ... Caso queira rodar este evento quando carregar a página, ou algo do tipo, sem que "haja determiando clique" ... utilize trigger()...
Qualquer dado você deve validar... você pode validar com JS, antes... e obrigatoriamente validar na página que recebe o método post, todos estes valores... utilize prepare do PDO para inserir no banco de dados... Você pode enviar um token... para verificar se este saiu da página desejada... tem muitas coisas para fazer um sistema seguro... "mais ou menos" é isso...
Em questão do PDO ja estou usando no sistema inteiro, mas em questão ao submit meu sistema está funcionando dinamicamente em uma pagina só se eu colocar o submit no form ele vai redirecionar minha pagina?
Então penso que por as variáveis estarem expostas facilite a insegurança do meu site podendo vazar dados e etc, estou meio confuso primeira vez que faço um sistema de login usando ajax decidi usa-lo por questão de fazer um sistema dinâmico...
Não existe nenhuma variável exposta ali... apenas os nomes dos campos que serão recebidos pelos arquivo php, só que isto sempre ficará exposto, mesmo se você não usar ajax.
Não existe nenhuma variável exposta ali... apenas os nomes dos campos que serão recebidos pelos arquivo php, só que isto sempre ficará exposto, mesmo se você não usar ajax.
Entendo então minha questão está resolvida obg!
E qual exatamente seria a "insegurança" neste caso? Veja que não existe nenhuma diferença entre o cara ver isto e ver os nomes dos campos do formulários de login...