Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP]Wysyłanie danych przez $_POST bez formularza
Forum PHP.pl > Forum > Przedszkole
!*!
14.09.2008, 15:38:36
Znalazłem na necie taki kod:

[PHP] pobierz, plaintext 
  1. <?php 
  2.    $url = 'localhost'; 
  3.    $fp = fsockopen($url, 80, $errno, $errstr, 1); 
  4.    $out = "POST /rej.php HTTP/1.0r\n"; 
  5.    $out .= "Ho: $urlr\n"; 
  6.    $out .= "Content-Ty: application/x-www-form-urlencodedr\n"; 
  7. /** 
  8. * Tu podajemy długość całego łańcucha zmiennych POST (patrz niżej) 
  9. */ 
  10.    $out .= "Content-Leng: 13r\n"; 
  11.    $out .= "r\n"; 
  12. /** 
  13. * Tu kolejno podajemy zmienne POST oddzielając je & (tak jak w GET) 
  14. */ 
  15.    $out .= "login=FRAZAr\n&haslo=FRAZAr\n$haslo2=FRAZAr\n";  
  16.    $out .= "Connectio: Closer\nr\n"; 
  17.    fwrite($fp, $out); 
  18.    while (!feof($fp)) 
  19.    { 
  20.       $echo .= fgets($fp, 128); 
  21.    } 
  22.    fclose($fp); 
  23.    echo substr($echo,185); 
  24. ?>
[PHP] pobierz, plaintext


jak zabezpieczyć się przed czymś takim? Ogólnie jest bardzo mało informacji o zaberzpieczeniach serwisów, a jak już sa to informują o blokowaniu register_globals, czyli nie są dzisiejszej daty... Interesują mnie właśnie takie techniki, aby zabezpieczyć swoje serwisy.


i co oznacza ten ciąg znaków po odpaleniu tego sktyptu:

Kod
98b4154f6ad5463d4c9b1fee18e82a; path=/ Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Content-Length: 1596 Connection: close Content-Type: text/html
wipo
14.09.2008, 18:06:23
curlem mozesz wyslac posta. Zabezpieczyc sie mozesz albo badaniem http_referer albo zabezpieczyc swoj formularz kodem z obrazka i potem go porównywac
matx132
14.09.2008, 18:13:18
Cytat(wipo @ 14.09.2008, 17:06:23 ) *
curlem mozesz wyslac posta. Zabezpieczyc sie mozesz albo badaniem http_referer albo zabezpieczyc swoj formularz kodem z obrazka i potem go porównywac



w curl mozna wybrać referer więc tak naprawdę mija się to z celem,
najlepiej captcha lub jakies zadanie np ile jest 5+8
!*!
14.09.2008, 18:31:23
tak, mam captcha i chyba jest bezpieczny tongue.gif a co oznacza ten komunikat wyżej? Oraz czy przesyłanie hader w takiej formie:

Kod
header('Location: http://'.$_SERVER['SERVER_NAME'].'/?plik=wartosc');


Jest bezpieczne? Oczywiście "plik" sprawdza czy jest to wartość odpowednia, itp. ale czy samo haider i $_SERVER trzeba jakoś sprawdzać, filtrować?
matx132
14.09.2008, 18:37:03
Kod
98b4154f6ad5463d4c9b1fee18e82a; path=/ Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Content-Length: 1596 Connection: close Content-Type: text/html


jest to odpowiedź serwera
!*!
15.09.2008, 08:37:15
matx132 - tyle to ja wiem, to oczywiste, jednak chciałbym rozbić to na czynniki pierwsze i dowiedzieć się czegoś dokładniej o tym.
dr_bonzo
15.09.2008, 09:27:25
!*!:
1. google + "http response headers"

2. nie obronisz sie przed takim dostepem przez CURL; jedynie obrazki sa dobre - cos czego komputer nie jest w stanie zrobic (pewnie jest soft ktory odczyta te obrazki, ale nie masz do niego dostepu tongue.gif), "5+8" mozna sobie najpierw odczytac a potem obliczyc i wyslac.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.