Безопасность ajax запросов

[Raccoon]

Добрый день.

Возник вопрос по работе с аякс запросами, допустим посылаем мы запрос серверу вроде

var commentId = 45;

$.ajax({
type: "GET",
url: "ajax/comment/delete/,
data: { comment: commentId}
...

Юзер же может подделать запрос и удалить коммент соседа, введя там 46, 47, 48 и так далее. Как идентифицировать пользователя? Ведь сессии нет.

Кроме как передавать какой-нибудь personal-key вроде md5 в голову не приходит.
Ну или направлять запрос на страницу, которая в общей структуре MVC, где работают сессии, и разруливать конструкцией вида

if($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest') {
аякс код
} else { PHP код }

 

[sw04]

я разруливаю с помощью куков, на основе куков, привязанных к сессиям.

 

[Raccoon]

Как-то это не практично разруливать авторизацию с помощью клиента.

 

[DupleX]

Естественно, что твой ajax скрипт должен инклудить файл, где есть session_start() (то есть это может сделать только member), а сам запрос удаления записей строить таким образом, чтобы в них участвовал userID пользователя, взятый из сессии - то есть удалить записи где ид записей IN 47,48,49 и где ид юзера равен userID

 

[Raccoon]

Все понял, надо просто в общей структуре MVC сделать файл типа ajax.php, который будет отрабатывать запросы Яакса, но при этом будет жить в сессии, а я сначала делал в отдельную папку /ajax/ складывал скрипты и к ним обращался по отдельности.