Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / proverka istochnika dannyx / 16 сообщений из 16, страница 1 из 1
21.01.2005, 15:13
    #32877502
TigranE
TigranE
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
Код: plaintext
1.
2.
3.
4.
<form method="post" action="<?php echo $_SERVER["SCRIPT_NAME']; ?>">
<input type="text" name="pole1">
...............
<input type="submit">
</form>

Kak udostoverit'sya chto scenarij poluchil dannye imenno iz etoj formy a ne otkuda-to izvne, e.g. s drugogo hosta??
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.01.2005, 15:26
    #32877540
*
*
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
TigranEKak udostoverit'sya chto scenarij poluchil dannye imenno iz etoj formy a ne otkuda-to izvne, e.g. s drugogo hosta??$_SERVER['HTTP_REFERER']
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.01.2005, 15:30
    #32877557
TigranE
TigranE
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
* TigranEKak udostoverit'sya chto scenarij poluchil dannye imenno iz etoj formy a ne otkuda-to izvne, e.g. s drugogo hosta??$_SERVER['HTTP_REFERER']

a razve nel'zya HTTP_REFERER poddelat', napr. s pomishyu telnet-a?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.01.2005, 15:38
    #32877582
*
*
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
TigranE * TigranEKak udostoverit'sya chto scenarij poluchil dannye imenno iz etoj formy a ne otkuda-to izvne, e.g. s drugogo hosta??$_SERVER['HTTP_REFERER']a razve nel'zya HTTP_REFERER poddelat', napr. s pomishyu telnet-a?Можно, но при чём здесь другой хост? запросы-то от пользователя идут, а не от сервера.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.01.2005, 15:48
    #32877610
TigranE
TigranE
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
Vot, pridumal tol'ko-chto... naverno ne oboshlos' bez dyr :)) podskajite gde ya oshibayus'?

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
<?php
  session_start();
  session_name('MOE1');

  if (isset($_SESSION['hash']) && isset($_POST['hash']) 
    && $_POST['hash']=$_SESSION['hash'])
  {
     echo 'Forma otpravlena!';
  }

  $_SESSION['hash']=mt_rand();
  $hash=$_SESSION['hash'];
?>

<form method-"post" action="">
<input type="hidden" name="hash" value="<?php echo $hash; ?>">
.......
<input type="submit">
</form>
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.01.2005, 15:48
    #32877613
4m@t!c
4m@t!c
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
TigranE * TigranEKak udostoverit'sya chto scenarij poluchil dannye imenno iz etoj formy a ne otkuda-to izvne, e.g. s drugogo hosta??$_SERVER['HTTP_REFERER']

a razve nel'zya HTTP_REFERER poddelat', napr. s pomishyu telnet-a?
$_SERVER['HTTP_REFERER'] не есть гарантия валидности данных, значения нужно проверять не заморачиваясь, откуда пришла информация, а думая о том, как эти данные должны "выглядеть", что скрипт работал корректно и без проблем для алгоритма и безопасности. Другими словами валидность данных нужно проверять, не откуда пришли, а что содержится в этих данных.
АКСИОМА. Ни одним данным, пришедшим из сети, верить нельзя, пока ты их сам не проверишь на предмет безопасности и валидности.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.01.2005, 15:49
    #32877617
TigranE
TigranE
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
... v uslovii konechno '==' vmesto '=' :))
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.01.2005, 15:53
    #32877625
TigranE
TigranE
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
4m@t!c TigranE * TigranEKak udostoverit'sya chto scenarij poluchil dannye imenno iz etoj formy a ne otkuda-to izvne, e.g. s drugogo hosta??$_SERVER['HTTP_REFERER']

a razve nel'zya HTTP_REFERER poddelat', napr. s pomishyu telnet-a?
$_SERVER['HTTP_REFERER'] не есть гарантия валидности данных, значения нужно проверять не заморачиваясь, откуда пришла информация, а думая о том, как эти данные должны "выглядеть", что скрипт работал корректно и без проблем для алгоритма и безопасности. Другими словами валидность данных нужно проверять, не откуда пришли, а что содержится в этих данных.
АКСИОМА. Ни одним данным, пришедшим из сети, верить нельзя, пока ты их сам не проверишь на предмет безопасности и валидности.

Eto samo soboj razumeetsya chto proveryat' nado :)) Ya sprashivayu naschet zashity ot. napr. JavaScript scenariya, kotoryj s pomoshyu cikla mojet zapostit' bolshoe kolichestvo dannyx xot'' i korrektnyx dannyx!
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.01.2005, 15:58
    #32877641
4m@t!c
4m@t!c
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
TigranEVot, pridumal tol'ko-chto... naverno ne oboshlos' bez dyr :)) podskajite gde ya oshibayus'?

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
<?php
  session_start();
  session_name('MOE1');

  if (isset($_SESSION['hash']) && isset($_POST['hash']) 
    && $_POST['hash']=$_SESSION['hash'])
  {
     echo 'Forma otpravlena!';
  }

  $_SESSION['hash']=mt_rand();
  $hash=$_SESSION['hash'];
?>

<form method-"post" action="">
<input type="hidden" name="hash" value="<?php echo $hash; ?>">
.......
<input type="submit">
</form>

Для чего ты все это делаешь? Что конкретно тебе нужно сделать? убедится, что данные пришли с твоей же страницы? Нет - этот скрипт такой проблемы не решает.
З.Ы. почти то же самое делает сессия.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.01.2005, 16:04
    #32877656
4m@t!c
4m@t!c
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
TigranEEto samo soboj razumeetsya chto proveryat' nado :)) Ya sprashivayu naschet zashity ot. napr. JavaScript scenariya, kotoryj s pomoshyu cikla mojet zapostit' bolshoe kolichestvo dannyx xot'' i korrektnyx dannyx!
Проверяй время последнего поста со временем текущего поста от одного клиента, если интервал меньше, чем ты считаешь нужным, значит это флуд.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.01.2005, 16:06
    #32877660
TigranE
TigranE
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
4m@t!c
Для чего ты все это делаешь? Что конкретно тебе нужно сделать? убедится, что данные пришли с твоей же страницы? Нет - этот скрипт такой проблемы не решает.
З.Ы. почти то же самое делает сессия.

Ya pytayus' zashitit'sya na sluchay esli kto-to iz userov napishet cikl na JavaScript i zapostit kuchu xlama na moy server.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.01.2005, 16:06
    #32877662
*
*
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
4m@t!cзначения нужно проверять не заморачиваясь, откуда пришла информация очень поучительная история
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.01.2005, 16:08
    #32877666
*
*
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
TigranEYa pytayus' zashitit'sya na sluchay esli kto-to iz userov napishet cikl na JavaScript i zapostit kuchu xlama na moy server.А я то думал - боитесь, что кто-то другой форму на своём сайте разместит.
_dima_noflood.php - модуль для защиты от флуда PHP-сайта
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.01.2005, 16:13
    #32877694
4m@t!c
4m@t!c
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
* 4m@t!cзначения нужно проверять не заморачиваясь, откуда пришла информация очень поучительная история
угу.. я знаю эту историю. Тем что я написал, я хотел сказать, чтонужно делать упор в проверке не на то, что если с моего сайта, значит дальше проверки не нужны, а то что нужна проверка на валидность самой информации.
последующими постами автора я понял, что он хочет защитится от флуда.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.01.2005, 15:26
    #32878577
TigranE
TigranE
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
* TigranEYa pytayus' zashitit'sya na sluchay esli kto-to iz userov napishet cikl na JavaScript i zapostit kuchu xlama na moy server.А я то думал - боитесь, что кто-то другой форму на своём сайте разместит.
_dima_noflood.php - модуль для защиты от флуда PHP-сайта

Tut vse ponyatno, spasibo. A chto esli v sessii xranitx vremya poslednego obrasheniya a potom proveryatx na opredelennyj interval vremeni?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.01.2005, 15:32
    #32878582
*
*
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
proverka istochnika dannyx
TigranETut vse ponyatno, spasibo. A chto esli v sessii xranitx vremya poslednego obrasheniya a potom proveryatx na opredelennyj interval vremeni?Эти два предложения крайне противоречивы. Где хранить время последнего обращения - не имеет никакого значения - идея-то остаётся той же. И потом, у Димы более жёсткий критерий - хотя, с другой стороны, не лишён недостатка (но с этим ничего не поделаешь - особенность среды).
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / proverka istochnika dannyx / 16 сообщений из 16, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение  
Полит. конфиден.  
созд. / загр.: 445ms
Закрыть
start [/forum/topic.php?fid=23&tablet=1&tid=1478892]:
 0ms
get settings:
 7ms
get forum list:
 10ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 141ms
get topic data:
 7ms
get forum data:
 2ms
get page messages:
 33ms
get tp. blocked users:
 1ms
others: 238ms
total:  445ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]