Como ocultar variables pasadas a funciona javascript.

Hola gente:

Estoy poco a poco aprendiendo javascript, y hoy dandole vueltas a mi pagina web, me he encontrado con un importante fallo de seguridad, que mas o menos creo que se como arreglarlo, pero me gustaria preguntar a los expertos xD.

Tengo un boton que al pulsarlo cambio de estado, y llama a una funcion javascrpit que le pasa dos id. Pues estos dos id, se ven en el codigo fuente, y lo mas way, es que si modifico los valores en el cod fuente visto desde la web, pulso el boton, y se envian con los valores que he metido xD. Vaya, una cagada gorda.

Habia pensado meterlos en una variable?? Pero no se si el contenido tambien de la variable se puede cambiar desde el cod. fuente.

Que me recomendais?

Gracias

Hola:

javascript parácticamente no tiene seguridad; siempre se puede ver el código fuente, así que lo que arregles por un lado, podrá ser vulnerable en otro. La seguridad importante debe estar en el servidor. Si alguien modifica algo el código javascript, los resultados serán visibles solo por quién los ha modificado; cosas que prácticamente son imposible de controlar.

Las variables las puedes poner en cualquier sitio, incluso puedes crearte etiquetas o atributos html para ocultarlos, pero también se puede descubrir.

Por alguna parte de los foros puse un sencillo script para encriptar códigos basados en la lógica xor y una semilla, pero voy a omitir buscarla.

Saludos

xD, hombre, pues si no te importase buscar eso de encriptarlos, te lo agradecería, ya que si esta en tus mensajes te será mas rápido.

De todas formas, me explico un poco mas, por que creo que me hablas mas de encriptar el código fuente en si, que de el problema que tengo.
A parte de encriptar el código fuente de las funciones, que mi interesa también, mi problema es mas que, ejemplo:

Esto es lo que me sale en mi código: href="javascript:seguir(2581, 432);

Esos números son los que me preocupan, y los que se pueden cambiar y, modificar la BD.

Cual seria la mejor opción para proteger esto?


EDITO: Retiro lo de la idea de meterlas en una variable ¬¬, ya estaban metidas. xD
¿Cómo narices evito o dificulto que se vea los números? o Que se puedan modificar? o dificultar que se puedan modificar... ya que parece que es imposible.

Hola:

No creas que es más rápido: proteccion de archivo .js

Saludos

Ahhh, crei que era otra cosa...

Pero esto no me sirve para enconder en la parte inferior de los navegadores que se va hacer una llamada a la función JavaScript con X valores....
Ademas aun que este encriptados, si a un usuario le dan por inventárselos, esos valores aun q estén mal desencriptados se van a guardar en la BD

No hay forma de disimular esto? Vaya, es que no me lo creo... tiene que haber algo...

La función Seguir, es una llamada a JavaScript usando AJAX. Por si es de importancia.

Hola:

Para que eso no aparezca evita usar enlaces para lanzar un script... Esa mala costumbre empezó para que apareciese el cursor con la mano (pointer) cuando se puede conseguir con estilos...

Si no quieres enlazar no uses enlaces, los scripts los puedes lanzar desde cualquier elemento html; si no debe tener significado semántico, puedes usar un simple tag span; y si quieres que se vea la mano puedes usar estilos.

Saludos

A ver, que estoy aprendiendo, y voy a trozos lo mismo hago en.ajax, y luego no me se las tal básicas de html.

Que consigo hacer con span?? Que no se vea la manita me da igual, hay un vs a que se ve un botón.

Otra cosa, he conseguido mediante esta forma camuflar un poco la llamada:
$seguir .= "<a class='boton_m_seguir' id='mi_boton' href='#' onclick='javascript:seguir($userm->id, $idevento);'> blablabla</a>";

Pero lo que me gustaría del todo, es evitar que ahora, quien viera el.código fuera incapaz de modificar las variables. Ya que cada vez que se pulsa el.botón se modifica la base de datos, y si se cambian los valores me pueden Joder la bd.

Bueno, dejo lo la solución que estoy usando temporalmente hasta que consiga usar la función sin parámetros.

He encriptado la información de esta forma:
http://www.v3rgu1.com/blog/720/2013/...riptar-en-php/

Pero tengo unas dudas:
Me da error si uso MCRYPT_RIJNDAEL_256, tengo que usar el de 192. Con error me refiero a que no me desencripta bien
Ademas, aun que con 192 funciona, si pongo una Key de mas de 5 caracteres, tampoco desencripta bien.
Como consigo hacer un control en caso de que cambien la información encriptada? Si envio cualquier cosa, me da un fallo de la consulta interna SQL, no cambia nada, y tal, pero me devuelve el error y esta feo. No veo por ningún lado que la función desncriptar retorne algún valor de control.


¿Sabeis como solucionarlo?
Al margen de esto, que tal veis la solución?

He tenido que escrbir la Key tanto en el controlador, como en la view. ¿A esos archivos no se puede acceder no?
Saludos!