יפה, מדריך שיכול לעזור מאוד
ותן קצת קרדיט על ה-SQLI..
ובקשר ל-$_SERVER['HTTP_REFERER'], זה לא ממש מומלץ להשתמש בזה סתם ככה, כי זה יכול לגרום בעיות אם למשל שינית דומיין או אם אתה עובד עם כל כתובות אחרות שיכולות להשתנות.
בגדול עדיף אבטחה עם מסד או קוד CAPTCHA, אבל אם בכל זה מחליטים להשתמש בכתובת המפנה,
אני ממליץ להשתמש בפונקציה הזו:
http://php.net/manual/en/function.parse-url.php
אבל כאן עדיין יש חור, במקרה שהבנאדם ישים על השרת שלו את אותה הכתובת, ולכן, הנה קוד סופי:
PHP קוד:
global $config;
$ref = $_SERVER['HTTP_REFERER'];
$current_ref = "index.php?act=form&op=fill";
$divide = parse_url($ref);
if (($divide['scheme']."://".$divide['host'] != $config['site_url']) && ($divide['path'] != $current_ref))
die("False referrer.");
ובמשתנה הגלובלי $config, צריך להיות משהו כזה:
PHP קוד:
$config['site_url'] == "http://google.com";
עריכה:
בהמשך למה שזה שמעליי אמר, בשביל לבדוק אם הערך מספרי בשיטה הכי תיקנית אפשר להשתמש בביטוי רגולארי פשוט:
PHP קוד:
if (preg_match("/[^0-9]/", $id))
die("This is not a number.");