Risco de segurança ao usar o jQuery Ajax
Esta é uma questão que tem me incomodado há algum tempo, por isso estou procurando opiniões e soluções para reprimir a possibilidade de o aplicativo ser um risco de segurança.
Eu uso o jQuery para muitas coisas, mas principalmente eu uso ele para processar janelas de diálogo do jQuery. Muitas vezes, há a necessidade de obter um valor de um campo no formulário, concatenar essa informação com um comando .serialize () e passá-la para a chamada ajax do jQuery para acessar os arquivos PHP para interação com o banco de dados.
Aqui vem a minha pergunta (finalmente)
Não é ridiculamente fácil "adivinhar" como a URL pode parecer para o processamento do PHP?
Você pode abrir a fonte em um navegador moderno e clicar em um link para ver o arquivo JavaScript completo que contém a chamada ajax.
Eu poderia minimizar o arquivo JavaScript para ofuscação, mas isso não é uma forma de segurança confiável.
Eu estou usando o PDP para acessar bancos de dados com instruções preparadas para ataques de injeção de SQL, mas se alguém tirou o tempo para procurar, eles não poderiam apenas formar um url válido enviá-lo para o banco de dados e inserir o que eles querem?
Eu não estou falando sobre hacking do banco de dados para informações de aço, estou mais falando sobre a inserção de informações maliciosas, como se os dados foram adicionados a partir do próprio aplicativo. Pense em adicionar algo ao seu carrinho de compras que custa US $ 50 por apenas US $ 25.
Se é tão simples como transformar o pedido ajax de GET para POST e alterar meus arquivos PHP?
Edit: A pessoa está logada e devidamente autenticada.
Apenas imaginando o que as outras pessoas fazem lá fora.
Obrigado!