Можно ли подделать передаваемые данные через AJAX

[yeaahhh]

Ребят, у меня на сайте очень много асинхр. запросов.
Задался вопросом: а можно ли как-то подделать переменную "logpol", которая принимает значение $aaa['login'] из БД?

$.ajax({
type: "POST",
url: "wink.php",
data: "logpol=<?=$aaa['login'];?>",
cache: false,  
success: function(html){ 
alert(html);
}
});

Если да, то как можно обезопаситься от атких постановок?
Заранее спасибо.

 

[coguar]

хешированием логина и сессии.
при изменении логина хеш будет изменяться, надо сравнивать хеши и если хеш разный - то левый запрос.

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

потому как referer также можно подделать легко.
еще можно данный пример извратить настолько что непонятно будет где что как и куда передается.

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

Кароче сделать надо так чтобы только один сайт знал какой хеш и с ним работать, а если хеш не правильный то идет попытка взлома. также для таких целей полезно логирование событий.

 

[yeaahhh]

А каким способом можно подставить-то? POST-запрос же.. разве можно менять исходный код страницы?

 

[usja]

А каким способом можно подставить-то? POST-запрос же.. разве можно менять исходный код страницы?

Конечно. Что firebug и вперед. Можно и страницу у себя сохранить, подделать данные и отправлять их на сервер. Но, если отправлять через аякс post, не с того домена, то запрос может не пройти.

А так, через firebug все запросы удачно можно просмотреть и ответы на них.

 

[usja]

Кстати, вашем случае, если вы передаете данные идентифицированного пользователя в запросе использовал данный из аутентификации, а не то, что он передает.
Если передается, например, комментарий от пользователя — вам нужно лишь передавать сам текст и id топика куда идёт коммент. id пользователя нужно брать из сессии.