новые сообщения
ответы на мои сообщения
избранное
скрытые темы
случайный топик
открыть всё в новых вкладках
Форум → Программирование → PHP для идиотов → Защита скриптов...
Защита скриптов...
Страницы: ← Следующая страница →
-
Сообщения:
11960
Репутация:
N
Группа:
в ухо
6 декабря 2008 г. 23:33, спустя 2 минуты 45 секунд
авторизация, сессии знакомы?все умрут, а я изумруд -
Сообщения:
734
Репутация:
N
Группа:
Адекваты
-
Сообщения:
734
Репутация:
N
Группа:
Адекваты
6 декабря 2008 г. 23:35, спустя 1 минуту 33 секунды
И еще нужно защитить от повторного добавления новости ))
-
Сообщения:
22959
Репутация:
N
Группа:
в ухо
6 декабря 2008 г. 23:36, спустя 44 секунды
Как защитить этот скрипт, от очень любопытных пользователей?
Защитить от чего? Не от кого, а от чего?https://smappi.org/ - платформа по созданию API на все случаи жизни -
Сообщения:
734
Репутация:
N
Группа:
Адекваты
6 декабря 2008 г. 23:38, спустя 1 минуту 37 секунд
Какой-нибудь пользователь, возьмет и откроет прямой ссылкой этот скрипт, и он будет добавлять пустые строчки…Как защитить этот скрипт, от очень любопытных пользователей?
Защитить от чего? Не от кого, а от чего? -
Сообщения:
2089
Репутация:
N
Группа:
Адекваты
6 декабря 2008 г. 23:56, спустя 18 минут 29 секунд
Ну проверяйте на добавление пустых строк.
Это в первую очередь.
Если просто от любопытных пользователей, то можно проверять с какой страницы пришел пользователь, если с нужной, то добавляем. -
Сообщения:
11960
Репутация:
N
Группа:
в ухо
6 декабря 2008 г. 23:57, спустя 56 секунд
в таких скриптах проверять доступ пользователя, открывшего урлвсе умрут, а я изумруд
-
Сообщения:
26646
Репутация:
N
Группа:
в ухо
7 декабря 2008 г. 7:59, спустя 8 часов 1 минуту 47 секунд
используй $_POST. никогда для форм работы с пользователем не используй $_REQUEST. и вообще забудь про этот массив. + конечно же сессия и куки. а проверка на пустоту - if(!$_POST) { die("hack attept");}Сапожник без сапог -
Сообщения:
2089
Репутация:
N
Группа:
Адекваты
7 декабря 2008 г. 10:50, спустя 2 часа 51 минуту 26 секунд
А $_SERVER['HTTP_REFERER'] использовать можно?
Да, его можно и подделать, но и пост и куки тоже подделать можно.
А вообще нужно использовать все тут перечисленное в совокупности.
Так, на всякий пожарный ;) -
Сообщения:
11960
Репутация:
N
Группа:
в ухо
7 декабря 2008 г. 11:06, спустя 15 минут 24 секунды
не нужно никаких пожарных
А $_SERVER['HTTP_REFERER'] использовать можно?
Да, его можно и подделать, но и пост и куки тоже подделать можно.
А вообще нужно использовать все тут перечисленное в совокупности.
Так, на всякий пожарный ;)
авторизовали пользователя, поставили флаг в сессию, всё!все умрут, а я изумруд -
Сообщения:
26646
Репутация:
N
Группа:
в ухо
7 декабря 2008 г. 11:26, спустя 20 минут 28 секунд
соглашусь . поддерживать рефере- для параноиков + его то подделать самый простой вариант из перечисленно господином профессором.
не нужно никаких пожарных
А $_SERVER['HTTP_REFERER'] использовать можно?
Да, его можно и подделать, но и пост и куки тоже подделать можно.
А вообще нужно использовать все тут перечисленное в совокупности.
Так, на всякий пожарный ;)
авторизовали пользователя, поставили флаг в сессию, всё!Сапожник без сапог -
Сообщения:
5147
Репутация:
N
Группа:
в ухо
7 декабря 2008 г. 11:34, спустя 7 минут 21 секунду
1. проверка на валидность принимаемых значений (в т.ч. на непустоту) это must have полюбому!
2. писать только авторизованным или заполнившим какую-то капчу + обратный емайл
3. сохранять время когда юзер отправлял форму последний раз. разрешать не чаще чем раз в X секунд (X установить опытным путем). для гостя признак узнавания - его емайл. сталобыть на автомате несколько кликов подряд - не получится.
специально сравнивать не совпадает ли весь текст с предыдущим - дурной тон, imho.
реферер - впесду. его может и не быть и что тогда?
злопыхатель все может подделать. хуже когда невинный посетитель страдает из-за неграмотной реализацииιιlllιlllι унц-унц -
Сообщения:
26646
Репутация:
N
Группа:
в ухо
7 декабря 2008 г. 11:48, спустя 14 минут 15 секунд
золотые СЛОВА!
злопыхатель все может подделать. хуже когда невинный посетитель страдает из-за неграмотной реализацииСапожник без сапог -
Сообщения:
2089
Репутация:
N
Группа:
Адекваты
7 декабря 2008 г. 11:57, спустя 8 минут 40 секунд
авторизовали пользователя, поставили флаг в сессию, всё!
Человек боится за уже зарегистрированнх пользователейКакой-нибудь пользователь, возьмет и откроет прямой ссылкой этот скрипт, и он будет добавлять пустые строчки…
Мы его зарегистрировали, поставили флаг, а он прямым линком функции стал запускать.
Тут либо вы не поняли, либо я.поддерживать рефере- для параноиков
Может быть=) никогда не пользовался, а тут мысль пришла.
}/{EHR изначально сказал что это от любопытных пользователей.Они врядли будут рефере подделывать =)его может и не быть и что тогда?
его не может не быть.
Если его нет то скрипт не запускать, так как юзверь зашел по прямой ссылке.
На мой НЕпрофессиональный взгляд реферер это самый простой способ в данном случае и при данной задаче. И естественно не самый безопасный (тут нельзя не согласиться =))
Страницы: ← Следующая страница →
Пожалуйста, авторизуйтесь, чтобы написать комментарий!