Witam wszystkich,
Mam pytanie, jak dostać adres domeny z której ktoś wywołuje mój skrypt? Znalazłem tylko HTTP_REFER, ale to jest bieda i da sie łatwo podrobić. Stworzyłem sobie flashowy pliczek do wysyłania maili. Dane wysyła poprzez POST do skryptu (plik mail.php) na tym samym serwerze, po prostu chciałbym sprawdzić czy dane są z tego serwera, żeby tylko ten jeden plik (flashowy) mógł korzystać z opcji wysyłania (plik mail.php).
Z góry dziękuje za pomoc.
Pełna wersja: [php] Jak dostać adres domeny wywołującej?
no mi sie wydaje ze tylko w ten sposob sprawdzisz
latwo da sie podrobic? hmmm no niewiem
w kazdym razie jak chcesz odwolywac sie do pliku tylko Ty
mozesz przesylac i sprawdzac haslo jakies
co do majstrowania przy refererze, jak ktos wysle naglowki odpowiednie to fakt
wiec mysle ze haslo przesylane metoda POST bedzie ok
latwo da sie podrobic? hmmm no niewiem
w kazdym razie jak chcesz odwolywac sie do pliku tylko Ty
mozesz przesylac i sprawdzac haslo jakies
co do majstrowania przy refererze, jak ktos wysle naglowki odpowiednie to fakt
wiec mysle ze haslo przesylane metoda POST bedzie ok
Nie wyjdzie, plik swf (flash) jest wykonywany po stronie klienta, więc można przechwycić hasło. A prefabrykować takie rzeczy jak HTTP_REFER jest bardzo prosto, są do tego programy, albo można samemu pokusić się o napisanie klienta HTTP.
ale mozna by to troche zakrecic
po pierwsze, dajesz sprawdzanie referera (czym wiecej zabezpieczen tym lepiej
)
nastepnie dajesz haslo przesylane metoda post
dla zmyly dajesz haslo GET
jakies ID unikalne?
jezeli sie powtorzy, skrypt nie ruszy no i ograniczenie do wielkosci tego ID np. akceptowalne tylko od 100-110, oraz od 165-170 itd.
no mozna kombinowac dlugo, ale szczerze mowiac ciekawi mnie tez czy jest "idealna" opcja na to
po pierwsze, dajesz sprawdzanie referera (czym wiecej zabezpieczen tym lepiej
)nastepnie dajesz haslo przesylane metoda post
dla zmyly dajesz haslo GET
jakies ID unikalne?
jezeli sie powtorzy, skrypt nie ruszy no i ograniczenie do wielkosci tego ID np. akceptowalne tylko od 100-110, oraz od 165-170 itd.
no mozna kombinowac dlugo, ale szczerze mowiac ciekawi mnie tez czy jest "idealna" opcja na to
Po 1. HTTP_REFER tutaj nawet nie działa (po prostu jest puste)
Po 2. To swf rozpoczyna komunikację, a on nie jest dynamicznie generowany, co więcej, każdy może go zdekompilować i poznać dogłębnie zasadę działania, więc unikalny ID jest niemożliwy do uzyskania.
Po 3. zaciemnienie kodu to jest pseudobezpieczeństwo, czyli praktycznie jego brak, nie mam ochoty żeby ktokolwiek wysyłał tony spamu z mojego serwera, więc potrzebuję rzeczy "idealnej"
Po 2. To swf rozpoczyna komunikację, a on nie jest dynamicznie generowany, co więcej, każdy może go zdekompilować i poznać dogłębnie zasadę działania, więc unikalny ID jest niemożliwy do uzyskania.
Po 3. zaciemnienie kodu to jest pseudobezpieczeństwo, czyli praktycznie jego brak, nie mam ochoty żeby ktokolwiek wysyłał tony spamu z mojego serwera, więc potrzebuję rzeczy "idealnej"
jezeli obawiasz sie o flood to zrob np. blokade na ip, ze wiadomosc mozna wyslac co 60sek albo ile tam chcesz
ale zeby plik nie dzialal dla innych... no ja nie mam pomyslu, o flasha tylko sie otarlem w sumie
ale zeby plik nie dzialal dla innych... no ja nie mam pomyslu, o flasha tylko sie otarlem w sumie
No ta czasowa blokada to może być rozwiązanie 
Ale czekam na inne pomysły, albo raczej na odpowiedź na pytanie które jest w temacie.
Ale czekam na inne pomysły, albo raczej na odpowiedź na pytanie które jest w temacie.
A może prościej - nie lepiej po stronie klienta wstawić do tyego flasha tylko ramke z formularzem ? I dopuszczać wtedy tylko po http refer ?
Cytat(kiler129 @ 19.03.2007, 08:01:40 ) 
A może prościej - nie lepiej po stronie klienta wstawić do tyego flasha tylko ramke z formularzem ? I dopuszczać wtedy tylko po http refer ?
Nie rozumiem zbytnio w czym to miałoby pomóc, we flashu jest formularz i jest on po stronie klienta (oczywiście klientem jest każdy użytkownik, a po stronie klienta jest dopiero jak otworzy daną stronę i przeglądarka wrzuci sobie ten plik do cache'a)
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.