Как правильно "по пацански" проверить данные пришедшие с форм на наличие подлинности, без всяких $_SERVER['HTTP_REFERER'] и session id в хидден поле. Если я все правильно понимаю это все херня и толку от них 0.
—
Хотел поиском воспользоваться, а он мне на любой вопрос отвечает "Ошибка базы данных". Так что если уже была такая тема, я ее не нашел)
новые сообщения
ответы на мои сообщения
избранное
скрытые темы
случайный топик
открыть всё в новых вкладках
Форум → Программирование → PHP для идиотов → Проверка подлинности форм
Проверка подлинности форм
Страницы: ← Следующая страница →
-
Сообщения:
27
Репутация:
N
Группа:
Кто попало
-
Сообщения:
3244
Репутация:
N
Группа:
Джедаи
23 октября 2010 г. 15:55, спустя 2 минуты 32 секунды
form idСпустя 45 сек.короче уникальный идентификатор формы, выдаваемый ей при генерации, и ожиидаемый при получениине всё полезно, что в swap полезло -
Сообщения:
5147
Репутация:
N
Группа:
в ухо
-
Сообщения:
292
Репутация:
N
Группа:
Адекваты
23 октября 2010 г. 15:57, спустя 51 секунду
Если я все правильно понимаю это все херня и толку от них 0.
правильно понимаешь! -
Сообщения:
27
Репутация:
N
Группа:
Кто попало
-
Сообщения:
6480
Репутация:
N
Группа:
Джедаи
24 октября 2010 г. 9:21, спустя 17 часов 9 минут 55 секунд
правильно понимаешь!
если session_id - кука с httpOnly=true - то толк есть -
Сообщения:
292
Репутация:
N
Группа:
Адекваты
24 октября 2010 г. 11:19, спустя 1 час 58 минут 5 секунд
если session_id - кука с httpOnly=true - то толк есть
какой? -
Сообщения:
6480
Репутация:
N
Группа:
Джедаи
-
Сообщения:
5147
Репутация:
N
Группа:
в ухо
24 октября 2010 г. 12:04, спустя 39 минут 55 секунд
session_id сам по себе идентифицирует только пользовательский сеанс работы, а токен, как правило, еще какую-то информацию о форме-отправителе. по крайней мере вики так говорит. поэтому он даёт чуть больше защиты от взлома через JS-инъекцию. зависит от реализации, конечно. можно облажаться в любой технологии.ιιlllιlllι унц-унц
-
Сообщения:
6480
Репутация:
N
Группа:
Джедаи
24 октября 2010 г. 12:25, спустя 21 минуту 22 секунды
шаблон формы
<form method="post">
<input type="hidden" name="secret_key" value="<?php echo $this->getSesson()->id() ?>">
<!– … –>
контроллер формыif ($this->getSession()->id() != $this->getRequest()->post('secret_key')) {
// форма невалидна
}Спустя 31 сек.бгг, парсер ломается на смеси html/php -
Сообщения:
5147
Репутация:
N
Группа:
в ухо
24 октября 2010 г. 12:29, спустя 3 минуты 21 секунду
код говно. даже парсер ужаснулсяιιlllιlllι унц-унц
-
Сообщения:
6480
Репутация:
N
Группа:
Джедаи
24 октября 2010 г. 12:31, спустя 2 минуты 15 секунд
что именно гавно?Спустя 34 сек.нужно просто обновить/поднастроить geshi
-
Сообщения:
5147
Репутация:
N
Группа:
в ухо
24 октября 2010 г. 12:39, спустя 8 минут 15 секунд
токен должен быть уникальным для каждой формы, а не для сессии. а так фактически
а) не проверяется ничего нового
б) проебать сесс_ид стало еще прощеιιlllιlllι унц-унц -
Сообщения:
7958
Репутация:
N
Группа:
в ухо
24 октября 2010 г. 12:41, спустя 1 минуту 53 секунды
токен должен быть уникальным для каждой формы
+1проебать сесс_ид стало еще проще
а зачем в форму сесс_ид подставлять? генерить другой ключик надо каждый разСпустя 26 сек.или я что-то не понял? -
Сообщения:
5147
Репутация:
N
Группа:
в ухо
24 октября 2010 г. 12:56, спустя 15 минут 19 секунд
все верно. ключик должен быть уникальным, он может быть функцией от (сессии + ид формы + время + секрет) или просто рандомным, но тгда его надо где-то сохранятьιιlllιlllι унц-унц
Страницы: ← Следующая страница →
Пожалуйста, авторизуйтесь, чтобы написать комментарий!