ФорумПрограммированиеPHP для идиотов → Защита скриптов...

Защита скриптов...

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 7 декабря 2008 г. 12:01, спустя 4 минуты 30 секунд


    авторизовали пользователя, поставили флаг в сессию, всё!

    Человек боится за уже зарегистрированнх пользователей
    Какой-нибудь пользователь, возьмет и откроет прямой ссылкой этот скрипт, и он будет добавлять пустые строчки…

    Мы его зарегистрировали, поставили флаг, а он прямым линком функции стал запускать.
    Тут либо вы не поняли, либо я.
    поддерживать рефере- для параноиков

    Может быть=) никогда не пользовался, а тут мысль пришла.
    }/{EHR изначально сказал что это от любопытных пользователей.Они врядли будут рефере подделывать =)
    его может и не быть и что тогда?

    его не может не быть.
    Если его нет то скрипт не запускать, так как юзверь зашел по прямой ссылке.

    На мой НЕпрофессиональный взгляд реферер это самый простой способ в данном случае и при данной задаче. И естественно не самый безопасный (тут нельзя не согласиться =))
    ваш не профессионлальный взгляд вас подвел. самый просто метод

    addnews.php
    <form action="doaddnews.php" method="post" …


    doaddnews.php
    <?
    if(!$_POST)
    {
    header("location: addnews.php");
    die();
    }
    adding news logic here
    Сапожник без сапог
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 7 декабря 2008 г. 12:05, спустя 4 минуты 16 секунд

    Ладно, согласен, можно и if(!$_POST) обойтись.
    Если уж реферер подделывать не будут, то пост точно =) и заодно проверяем на заполненность форм=)
    Переубедили =)
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 7 декабря 2008 г. 12:14, спустя 8 минут 26 секунд


    Ладно, согласен, можно и if(!$_POST) обойтись.
    Если уж реферер подделывать не будут, то пост точно =) и заодно проверяем на заполненность форм=)
    Переубедили =)
    хорошо что вы согласились в своей наивности насчет треферера и параноидальности :)))

    реферер без поста ни хера не стоит. реферер + пост - параноидальность :)
    Сапожник без сапог
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 7 декабря 2008 г. 12:22, спустя 8 минут 23 секунды

    реферер без поста ни хера не стоит. реферер + пост - параноидальность :)

    Ну незнаю на счет паранаидальности, но вот спам бот писал,
    И тоже что то про реферер не подумал, так весь день убил, пока его не подделал =)
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 7 декабря 2008 г. 12:26, спустя 3 минуты 50 секунд


    реферер без поста ни хера не стоит. реферер + пост - параноидальность :)

    Ну незнаю на счет паранаидальности, но вот спам бот писал,
    И тоже что то про реферер не подумал, так весь день убил, пока его не подделал =)
    вам попался сервер с referer check настроенным в сипанеле или хз где там… не удивлюсь что хватило бы реферера в виде http://server.com/ без полного пути :) ктому же проверять реферера - дурной тон. некоторые браузеры хуево поддерживают его
    Сапожник без сапог
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 7 декабря 2008 г. 12:34, спустя 8 минут 3 секунды

    вам попался сервер с referer check настроенным в сипанеле или хз где там… не удивлюсь что хватило бы реферера в виде http://server.com/ без полного пути :)

    Вполне возможно, не проверял =)
  • sap

    Сообщения: 2701 Репутация: N Группа: Кто попало

    Spritz 8 декабря 2008 г. 15:38, спустя 1 день 3 часа 3 минуты

    ктому же проверять реферера - дурной тон. некоторые браузеры хуево поддерживают его

    Хе-хе, я видел и вот такие перлы:
    header("Location: ".$_SERVER['HTTP_REFERER']);
  • Trej Gun

    Сообщения: 5305 Репутация: N Группа: в ухо

    Spritz 9 декабря 2008 г. 20:52, спустя 1 день 5 часов 14 минут

    header("Location: ".$_SERVER['HTTP_REFERER']);


    звучит какбудто нахуй послали
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 9 декабря 2008 г. 21:07, спустя 14 минут 27 секунд


    ктому же проверять реферера - дурной тон. некоторые браузеры хуево поддерживают его

    Хе-хе, я видел и вот такие перлы:
    header("Location: ".$_SERVER['HTTP_REFERER']);

    в ие6 если не путаю при f5 на форме реферер нулл приходит) так что хуево такие редиректы делать)
    Сапожник без сапог
  • }/{EHR

    Сообщения: 734 Репутация: N Группа: Адекваты

    Spritz 9 декабря 2008 г. 22:04, спустя 57 минут 22 секунды

    Чет не охото ничего делать… Учеба достала ))
    P.S. На выходных помучаю…
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 10 декабря 2008 г. 10:20, спустя 12 часов 16 минут 22 секунды


    Чет не охото ничего делать… Учеба достала ))
    P.S. На выходных помучаю…
    я бы лучше поделал, раз учеба достала
    Сапожник без сапог
  • pyhtelkin

    Сообщения: 103 Репутация: N Группа: Кто попало

    Spritz 26 декабря 2008 г. 17:26, спустя 16 дней 7 часов 5 минут

    Будет ли правильным еще скрипт в "исполняемом" файле оформить в виде функции? Чтобы исключить запуск "напрямую". Вы об этом говорите?
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 26 декабря 2008 г. 17:28, спустя 1 минуту 34 секунды


    Будет ли правильным еще скрипт в "исполняемом" файле оформить в виде функции? Чтобы исключить запуск "напрямую". Вы об этом говорите?
    не проще ли запретить запуск напрямую через .htaccess ? или если уж хочется обернуть то лучше юзать полное ООП, а то понаделают show_html_fucking_function_header_for_this_fucking_page()
    Сапожник без сапог
  • sap

    Сообщения: 2701 Репутация: N Группа: Кто попало

    Spritz 26 декабря 2008 г. 17:29, спустя 1 минуту 32 секунды


    Будет ли правильным еще скрипт в "исполняемом" файле оформить в виде функции? Чтобы исключить запуск "напрямую". Вы об этом говорите?

    Запуск «напрямую» исключают не так.
  • pyhtelkin

    Сообщения: 103 Репутация: N Группа: Кто попало

    Spritz 26 декабря 2008 г. 19:48, спустя 2 часа 18 минут 54 секунды


    Запуск «напрямую» исключают не так.


    SAP, ответ незащитан.

Пожалуйста, авторизуйтесь, чтобы написать комментарий!