jQuery führt alte funktion aus

[jeipack]

Ist leider wahr, ich habe schon mehrmals aus Faulheit nicht den Kunden nach einem Passwort gefragt, sondern den md5 Hash einfach mit einer der frei zugänglichen Rainbow Tables aufgeschlüsselt.
MD5 mit einem dynamischen Salt sollte aber sicher sein oder?@ComFreak


@risdesign:
POST passt schon.

das mit der console kann ich machen. meiner meinung nach ist es von der php seite gut aber von der javascriptseite eher nicht gut. es scheint mir als würde die id dazu addiert. hatte das mal mit nem alert versucht.
da kam dann immer wieder zuerst der neue wert und dann die alten nacheinander.
ich versuch das mit der console aber erst wenn ich wieder ran kann...

Wo hast du denn alert genau gesetzt und auf was? Anscheinend bist du dem Problem ja schon nahe gekommen. Um so wichtiger dass du dir da mehr Ausgaben machst bist du gefunden hast wo das Problem auftritt.

 

[ComFreek]

MD5 mit einem dynamischen Salt sollte aber sicher sein oder?@ComFreak

MD5, egal in welcher Weise, ist nicht mehr sicher! Mit modernen GPUs lassen sich Millionen Hashes pro Sekunde berechnen. Da nützt auch ein Salt nichts mehr, wenn sich die Rainbow-Tabellen innerhalb ein paar Stunden generieren lassen.

Ich würde - wenn schon - MD5 nur noch für Chechsums nutzen, z.B. um Dateiintegrität oder Cache-IDs zu erstellen. Aber allein da würde ich schon eher zu [phpf]sha1[/phpf] oder anderen Methoden greifen!

PS: @risdesign: Du nutzt nicht zufällig Safari auf einem iOS 6-Gerät? Da gab es mal Verstöße gg. den HTTP-Standard, indem POST-AJAX-Anfragen gecached wurden: http://stackoverflow.com/questions/12506897/is-safari-on-ios-6-caching-ajax-results

 

[jeipack]

Selbst wenn es gecached werden würde, würden ja nicht doppelte Inhalte zurück geliefert (oder besser gesagt: nicht den gecachten Inhalt UND den neuen Inhalt).. oder was auch immer genau passiert (da bin ich mir nämlich aus dem Text des OP nicht ganz sicher)

 

[risdesign]

ich benutze firefox mac/pc und ie pc. bei allen gleiches verhalten. in der console wird auch angezeigt dass die funktion immer addiert wird.
nach dem laden der seite ist der "zähler" auf 0 gesetzt. ich rufe die funktion auf. alles prima. wenn ich die funktion ein zweites mal aufrufe wird die funktion 2 mal durchlaufen. wenn ich die funktion ein 3. mal aufrufe wird sie 3 mal durchlaufen und so weiter....
was braucht ihr? mehr oder den ganzen code? screenshots?
danke

edit:
So! Jetzt hab ich es rausgefunden *megafreu*

Ich hab im Netz nach javascript funktion nur einmal ausführen gegoogelt und etwas gefunden:
http://www.mediengestalter.info/forum/4/script-nur-einmal-ausfuehren-90243-1.html
ich hab das dann so gemacht:

// USER LADEN
function user_laden(){
	var eingetragen = false;
	$.ajax({
			type: "POST",
			url: "../script/ajax.php",
			data: "seite=user_laden",
				success: function(data){
				console.log(json)
				var json = $.parseJSON(data);
				$("#seite").html(json.seite);
				
				$('#laden').fadeOut('slow');

				// HIER MUSS MAN DIE REINGELADENEN FUNKTIONEN EINFÜGEN	
												
				// USER EINGEBEN CLICK AUF [+]
				$(".add_user").click(function(){
					$("#user_eingeben").fadeIn();
					$("#user_name").focus();
				});

				// USER SPEICHERN
				$('span.user_speichern').click(function() {
					$("#laden").show();
					if(eingetragen == false)
					{
						user_speichern();
					}
					eingetragen = true;
				});
...
});

an den anfang die variable "eingetragen" mit false definiert und vor den funktionsaufruf zum speichern des users abgefragt und dann auf true gesetzt.

ich danke euch aber trozdem vielmals um eure hilfe. das mit den sql-injections kann ich per pn melden oder soll das auch hier rein?

 

[sheel]

Das, was du machst, ist zwar nur ein Workaround statt das Lösen vom eigentlichen Problem,
aber wenns funktioniert...

SQL-Injection: Was willst du per PN melden?
Es geht um Sicherheitsprobleme in deinem Code, nicht hier im Forum oder so.

 

[risdesign]

ja funktioniert
also damit wollte ich fragen ob du mir zeigen kannst wie ich die sicherheitslöcher auf der seite lösen kann. weil wenn ich mit den anleitungen aus dem web teste passiert nichts. vielleicht kennst du andere techniken?

 

[sheel]

Was soll denn passieren?

...versuchst du, Schutz einzubauen, oder eine SQL-Injection auszuprobieren?
Für Letzteres wäre es am Schnellsten, wenn du mir deine Domain gibst

 

[risdesign]

ja ich will testen ob und wie ich einen schutz eingeben muss/soll
http://www.example.com/url-entfernt!
benutzer ist admin und passwort

 

[sheel]

Warum glaubst du uns nicht einfach...
Und was soll man großartig injecten, wenn man das Adminpasswort hat?

 

[risdesign]

ich glaube es nicht, weil ich es getestet habe und nicht funktioniert. kannst das passwort nicht über die url ändern. auch nicht mit =1 or 1+1=2'-- was auch immer

ihr habt doch gesagt das mein code nicht sicher ist und wenn ich es weiss wie ich mich schützen kann, kann ich mein wissen in sachen sicher programmieren erhöhen und weitergeben