ФорумПрограммированиеПыхнуть хотите?Готовые решения → Как правильно забирать данные из GET && POST

Как правильно забирать данные из GET && POST

  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:33, спустя 4 минуты 6 секунд

    Что POST-запрос пришёл с твоего хоста.
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:35, спустя 1 минуту 8 секунд

    vasa_c, а, типа "подписывать формы"? ну да, неплохо :)

    от дибилов спамеров спасет)
    Сапожник без сапог
  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:36, спустя 1 минуту 26 секунд

    Не только.
    Вот ты авторизован на своём каком-то сайте, заходишь на мой, а я начинаю твоим браузером на твой сайт скрытые запросы слать.
  • Абырвалг

    Сообщения: 6480 Репутация: N Группа: Джедаи

    Spritz 21 сентября 2010 г. 3:36, спустя 26 секунд

    два вопроса:
    можно ли подделать этот хедер?
    что если его фаервол порежет?
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:38, спустя 1 минуту 12 секунд

    vasa_c, понял, я так стату накручивал пару раз)

    ну по сути ты про реферера видимо говоришь
    Сапожник без сапог
  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:40, спустя 1 минуту 54 секунды

    HTTP_HOST? объясни зачем и что проверять? заинтересовал)

    Т.е. нет, HTTP_REFERER.
    Спустя 18 сек.
    да, про реферер )
  • Абырвалг

    Сообщения: 6480 Репутация: N Группа: Джедаи

    Spritz 21 сентября 2010 г. 3:40, спустя 26 секунд

    ну по сути ты про реферера видимо говоришь

    ага, если так, то мои предыдущие запросы отпадают.

    да, подделать можно.
    если фаервол порежет - пиздец тебе)
  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:40, спустя 18 секунд

    Кстати, не только POST, но и GET, который меняет данные в базе, например, удаление в админке сделано допустим так: site.com/admin/news/?delete=5
  • Абырвалг

    Сообщения: 6480 Репутация: N Группа: Джедаи

    Spritz 21 сентября 2010 г. 3:41, спустя 39 секунд

    кстати дохуя фаерволов искаропки режут реферреры
  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:41, спустя 17 секунд

    Здесь не про подделать. То есть не про то, что я буду посылать запросы своим сценарием - мне всё равно нужно знать пароль и т.п.
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:42, спустя 28 секунд

    если фаервол порежет - пиздец тебе)

    если пустой реферер - то сам дурак :D
    Сапожник без сапог
  • Абырвалг

    Сообщения: 6480 Репутация: N Группа: Джедаи

    Spritz 21 сентября 2010 г. 3:43, спустя 49 секунд


    Кстати, не только POST, но и GET, который меняет данные в базе, например, удаление в админке сделано допустим так: site.com/admin/news/?delete=5

    обсуждали, кстати такое, да http://www.php.ru/forum/viewtopic.php?t=12986
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:43, спустя 4 секунды

    тут про скрытый ифрейм, я так онлайн игру прокачивал в контакте какую то - постави на варезник скрытый фрейм с партнерки и получал за каждого бота качера файлового бабло в игре :D
    Сапожник без сапог
  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:46, спустя 2 минуты 57 секунд

    Из той темы:
    Есть одно золотое правило. Запросы ИЗМЕНЯЮЩИЕ данные, должны передаваться ТОЛЬКО методом ПОСТ.

    И нет тех проблем, о которых ты говоришь.


    Есть эти проблемы и для POST, если я могу JS внедрить.
  • Абырвалг

    Сообщения: 6480 Репутация: N Группа: Джедаи

    Spritz 21 сентября 2010 г. 3:47, спустя 1 минуту 36 секунд

    еще про ифреймы: то ли контакт то ли одноглазнеги положили премию рунета, вставив скрытый ифрейм на нее
    Спустя 57 сек.
    Есть эти проблемы и для POST, если я могу JS внедрить.

    да понятное дело, старая тема, 2008 год.

    уже ж все решили: добавляем случайный form_key, через сессию его проверяем. Или статическую anti CSRF-строку

Пожалуйста, авторизуйтесь, чтобы написать комментарий!