Forum PHP.pl > Zabezpieczenie formularza

Pomoc - Szukaj - Użytkownicy - Kalendarz

mihow

22.11.2004, 09:25:54

Witam!
Mam zwykły formularz logowania wysyłany POST'em na zwykłym HTTP.
REGISTER_GLOBALS jest wyłączone. Jak zabezpieczyć taki formularz, aby nikt nie mógł go obejść?
Dodam, że po poprawnym zalogowaniu tworzone są sesje, które identyfikują zalogowanego użytkownika w systemie.

Pzdr
Michał

kszychu

22.11.2004, 09:40:34

Podczas odbierania danych z formularza możesz sprawdzać referrera, skąd przyszedł formularz, i jeżeli nie od Ciebie, to go odrzucasz.

Roly

25.11.2004, 12:15:33

Nie chcialem tworzyc nowego tematu bo dotyczy on wlasnie zabezpieczenia formularza i mam pytanko potrzebuje skrypcik htory sprawdzi refferera pod wzgeldem tego czy pochodzi z http://*.mojadomena.pl

goldmann

25.11.2004, 13:00:18

[PHP] pobierz, plaintext 
<?php
if (strstr($_SERVER[&#092;"HTTP_REFERER\"], \"mojadomena.pl\") == NULL) {
echo(&#092;"Przejdź do formularza ze strony http://mojadomena.pl/\");
} else {
// wszystko OK
}
?>
[PHP] pobierz, plaintext

Pozdrawiam!

dr_bonzo

25.11.2004, 13:12:42

[PHP] pobierz, plaintext 
<?php strstr($_SERVER[&#092;"HTTP_REFERER\"], \"mojadomena.pl\") ...?>
[PHP] pobierz, plaintext

ale funkcja ta zwraca pozycje pierwszego wystapienia "mojadomena.pl" w refererze => strstr() zwroci wartsoc !== FALSE jesli znajdzie "mojadomena.pl" w refererze (zaakceptuje referera).
Zaakceptuje:
http://costam.mojadomena.pl/....
a takze
http://evilh4xors.com/hackhim.php?site=BLA...domena.plBLABLA
lub
http://evilh4xors.com/mojadomena.pl.html

A poza tym referera wysyla przegladarka -- czyli user, ktory moze ta wartosc dowolnie zmienic (np. jakis extension do ffoxa).

goldmann

25.11.2004, 13:19:10

@dr_bonzo: no tak

No to zrób tak: jeżeli Twoja strona używa sesji, to w przypadku, gdy user jest na stronie formularza - ustaw jakąs zmienna sesyjną, np. $_SESSION['ze_strony'] na true. Następnie, w pliku obsługi formularza trzeba sprawdzać, czy $_SESSION['ze_strony'] jest ustawione, wtedy wszystko OK, jeżeli nie, to alert.

scanner

25.11.2004, 13:21:27

W formularzy dodaj pole hidden, w które wpiszesz ID sesji. Po wysłaniu tego formularza sprawdzasz ten numer sesji z ID uzyskanym na poziomie php.

yeti

25.11.2004, 13:25:37

BTW referera (od razu mówię, że nie sprawdziłem, bo nie miałem jak, ale właśnie mi wpadło w oko a tyczy tematu):

Cytat

How to Spoof HTTP_Referer
(or any other browser passed variable)

To see an ELEMENTARY way to spoof any referer (sic) value, you'll need telnet and a way to see the referer value that your server records (server logs always have the referer value in them).

Try the following:
(The example below assumes your homepage is index.html)

telnet www.yoursite.com 80 (press return)
GET /index.html HTTP/1.0 (press return)
Referer: http://www.hah-hah.com (press return)
(press return again)

Now, check your server logs and you'll see that "someone" from hah-hah.com grabbed your homepage.

If you are trying to "protect" a file by making sure that the referer value (or any other browser passed variable) is your own website, you can be bypassed by this simple technique. You cannot trust any browser passed variables.

no i tak to ponoc wygląda. Jak się dorwę wieczorem do serwera to przestestuję to sobie.

i jeszcze cytat z manuala:

Cytat

'HTTP_REFERER'
The address of the page (if any) which referred the user agent to the current page. This is set by the user agent. Not all user agents will set this, and some provide the ability to modify HTTP_REFERER as a feature. In short, it cannot really be trusted.

Roly

25.11.2004, 14:23:47

zrobilem to tak:

[PHP] pobierz, plaintext 
<?php
 
preg_match('/^http://(www.)?([w]+)?.?([w]+)?.?domena.pl/', $ref)
 
?>
[PHP] pobierz, plaintext

temu tak bo moj system nie ma wiekszego poziomu domen niz dwie czyli cos.cos2.domena.pl albo www.cos.cos2.domena.pl

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.