Witam,
Mam pytanie d.t. przekazywania zmiennych metodą POST . Załóżmy, że mam formularz na stronie - i przekazuję jedną zmienną.




Jeżeli ktoś będzie chciał stworzyć sobie podobny formularz bez dodatkowych ograniczeń - stworzy coś takiego:




Moje pytanie - jak można się przed tym uchronić bez ustawiania ciasteczek i bez potrzeby logowania?

Witam

Użyj tablic superglobalnych.
[php:1:3ec231d8f0]<?php
$_POST['costam'];
?>[/php:1:3ec231d8f0]

Użyć sesji - ID sesji podawać w polu hidden i weryfikować przy odbieraniu POST'a z ID rzeczywistym.

Nie wiem czy dobrze zrozumiałem koncepcję -ale co za problem dla kogoś wejść na stronę - podglądnąć swoje id sesji i napisać formularz, który przez najbliższą godzinę będzie ładować w bazę ile wlezie?

Pierwwsza sprawa - jeśli ta sama sesja próbuje dodac w to samo miesce informację raz za razem piszemy "nie mozesz tak szybko....". Patrz: phpBB - antiflood.

Druga sprawa: Zawsze możesz wyświetlić token (patrz: IDEA)
Trzeciaq sprawa: Zawsze mozesz wymusić podgląd wiadomosci: ścieżka wygląda tak:
Formularz -> Podgląd -> Wysłanie do bazy.
W tym momencie skrypt atakujacego musiałby odczytać to co przychodzi od Ciebie, sparsować i odpowiedzieć.
A Ty podajesz tylko formularz zjednym polem hidden, gdzie masz ID trzymanego w "poczekalni" materiału. Jak user kliknie OK na podglądzie - oznaczasz materiał jako opublikowany. Dzaieki temu drugi formularz (podgląd) nie pokazuje rzeczywistych danych.

ok - coś rozjaśnił mi się problem - dzięki.