[PHP] כיצד ניתן לבדוק מהיכן טופס נישלח? - הוסטס

4ior · 13-11-06, 16:37

או שאתה פשוט בודק אם הרפרר הוא האתר שלך

$_SERVER['HTTP_REFERER'];

RS324 · 13-11-06, 17:17

בכדי לבדוק אם זה לא מהשרת שלך אתה יכול לבדוק לפי ה REFER...
החלטתי לעשות לך חיים מאד קלים ולתת לך קוד שעובד ב 100 %

בבקשה :

PHP קוד:


			
if (strtoupper($_SERVER['REQUEST_METHOD']) == 'POST')

{

    if ($_SERVER['HTTP_HOST'] OR $_ENV['HTTP_HOST'])

    {

        $http_host = ($_SERVER['HTTP_HOST'] ? $_SERVER['HTTP_HOST'] : $_ENV['HTTP_HOST']);

    }

    else if ($_SERVER['SERVER_NAME'] OR $_ENV['SERVER_NAME'])

    {

        $http_host = ($_SERVER['SERVER_NAME'] ? $_SERVER['SERVER_NAME'] : $_ENV['SERVER_NAME']);

    }

    if ($http_host AND $_SERVER['HTTP_REFERER'])

    {

        $referrer_parts = parse_url($_SERVER['HTTP_REFERER']);

        $http_host = preg_replace('#^www\.#i', '', $http_host);

        $http_port = intval($referrer_parts['port']);

        $refhost = $referrer_parts['host'] . (!empty($http_port) ? ":$http_port" : '');



        if (!preg_match('#' . preg_quote($http_host, '#') . '$#siU', $refhost))

        {

            die('We Dont take POST requests (only from localhost) From other hosts.');

        }

    }

}

tnadav · 13-11-06, 17:53

ציטוט:

נכתב במקור על ידי RS324

בכדי לבדוק אם זה לא מהשרת שלך אתה יכול לבדוק לפי ה REFER...
החלטתי לעשות לך חיים מאד קלים ולתת לך קוד שעובד ב 100 %

בבקשה :

PHP קוד:


			
if (strtoupper($_SERVER['REQUEST_METHOD']) == 'POST')
{
    if ($_SERVER['HTTP_HOST'] OR $_ENV['HTTP_HOST'])
    {
        $http_host = ($_SERVER['HTTP_HOST'] ? $_SERVER['HTTP_HOST'] : $_ENV['HTTP_HOST']);
    }
    else if ($_SERVER['SERVER_NAME'] OR $_ENV['SERVER_NAME'])
    {
        $http_host = ($_SERVER['SERVER_NAME'] ? $_SERVER['SERVER_NAME'] : $_ENV['SERVER_NAME']);
    }
    if ($http_host AND $_SERVER['HTTP_REFERER'])
    {
        $referrer_parts = parse_url($_SERVER['HTTP_REFERER']);
        $http_host = preg_replace('#^www\.#i', '', $http_host);
        $http_port = intval($referrer_parts['port']);
        $refhost = $referrer_parts['host'] . (!empty($http_port) ? ":$http_port" : '');

        if (!preg_match('#' . preg_quote($http_host, '#') . '$#siU', $refhost))
        {
            die('We Dont take POST requests (only from localhost) From other hosts.');
        }
    }
}

חשוב לציין שתוכנות כמו Norton Internet Security מוחקות את הרפרר וקל מאוד לזייף אותו

ככה ש- Session זה הפיתרון הכי טוב

-VladK- · 13-11-06, 20:56

ציטוט:

נכתב במקור על ידי tnadav

חשוב לציין שתוכנות כמו Norton Internet Security מוחקות את הרפרר וקל מאוד לזייף אותו

ככה ש- Session זה הפיתרון הכי טוב

SESSION דווקא הוא לא הכי טוב...שמעתי שיש תוכנה או משהו שמאפשרת למחוק סשנים =/

RS324 · 13-11-06, 21:06

אז תעשה SESSION וקוד רנדומלי ומה שהבאתי לך...
בתכלס...למה ?? אתה צריך כזאת רמה של אבטחה ?

לגבי המשתמש שמעליי....כמה אנשים כבר משתמשים באינטרנט סקיורטי ? וכמה מתוכם באמת ירצו לפרוץ את האתר שלו ?

אז בוא נדבר תכלס...כל עוד אתה לא צריך אבטחה מטורפת, תשתמש במה שהבאתי לך ותגמור עניין.

תמיד תזכור שאין כספת שאי אפשר לפרוץ...
פשוט צריך להיות הפורץ המתאים...

-VladK- · 13-11-06, 21:07

ציטוט:

נכתב במקור על ידי RS324

אז תעשה SESSION וקוד רנדומלי ומה שהבאתי לך...
בתכלס...למה ?? אתה צריך כזאת רמה של אבטחה ?

לגבי המשתמש שמעליי....כמה אנשים כבר משתמשים באינטרנט סקיורטי ? וכמה מתוכם באמת ירצו לפרוץ את האתר שלו ?

אז בוא נדבר תכלס...כל עוד אתה לא צריך אבטחה מטורפת, תשתמש במה שהבאתי לך ותגמור עניין.

תמיד תזכור שאין כספת שאי אפשר לפרוץ...
פשוט צריך להיות הפורץ המתאים...

תודה רבה לך !

ואגב אהבתי את המשפט |קורץ|

tnadav · 13-11-06, 21:11

ציטוט:

נכתב במקור על ידי RS324

אז תעשה SESSION וקוד רנדומלי ומה שהבאתי לך...
בתכלס...למה ?? אתה צריך כזאת רמה של אבטחה ?

לגבי המשתמש שמעליי....כמה אנשים כבר משתמשים באינטרנט סקיורטי ? וכמה מתוכם באמת ירצו לפרוץ את האתר שלו ?

אז בוא נדבר תכלס...כל עוד אתה לא צריך אבטחה מטורפת, תשתמש במה שהבאתי לך ותגמור עניין.

תמיד תזכור שאין כספת שאי אפשר לפרוץ...
פשוט צריך להיות הפורץ המתאים...

הכוונה היא שזה פשוט לא יעבוד להם.. כי אין להם רפרר, אז הם לא יכולו להשתמש באתר, וחוץ מזה, אם בכזאת קלות אפשר לפרוץ את זה, אז למה סתם להשקיע את המאמץ בלבדוק רפרר?

אז יש משהו שמאפשר למחוק סאשנים, מי שהפעיל את זה הפעיל את זה בכוונה וזה לא יעבוד לו

סאשנים פשוט מוחקים את העוגיה שיש שם את המידע או מה- URL...

הקטע הוא כזה:
סאשן אפשר למחוק, אך ורק מידיעת המשתמש, ואז זה לא יעבוד לו..
רפרר לפעמים נמחק ללא ידיעה, ואז זה לא יעבוד לו והוא לא יידע למה ויתחיל להציף אותך בשאלות..

זאת הייתה הכוונה שלי שיש תוכנות שמוחקות את זה..

-VladK- · 13-11-06, 21:20

ציטוט:

נכתב במקור על ידי tnadav

הכוונה היא שזה פשוט לא יעבוד להם.. כי אין להם רפרר, אז הם לא יכולו להשתמש באתר, וחוץ מזה, אם בכזאת קלות אפשר לפרוץ את זה, אז למה סתם להשקיע את המאמץ בלבדוק רפרר?

אז יש משהו שמאפשר למחוק סאשנים, מי שהפעיל את זה הפעיל את זה בכוונה וזה לא יעבוד לו

סאשנים פשוט מוחקים את העוגיה שיש שם את המידע או מה- URL...

הקטע הוא כזה:
סאשן אפשר למחוק, אך ורק מידיעת המשתמש, ואז זה לא יעבוד לו..
רפרר לפעמים נמחק ללא ידיעה, ואז זה לא יעבוד לו והוא לא יידע למה ויתחיל להציף אותך בשאלות..

זאת הייתה הכוונה שלי שיש תוכנות שמוחקות את זה..

עיבדתה אותי קצת...אתה אומר שיש תוכנות אשר מבטלות רפרר...מה שיגרום למשתמש לא לראות את האתר...אז מה הקטע של התוכנות האלא? או שפשוט לא הבנתי אותך (דאמט יש לי בלוק על הראש...לא יכול לחשוב על היום =/)

עריכה קטנה:
אההההם הרגע עשיתי בדיקה קטנה בנושא של האותיות באנגלית...הוא מחזיר לי ערך של אמת רק אם האותיות ABC ולא abc ...

PHP קוד:


			
if(!preg_match('/^[A-Z]*$/', $username))

13-11-06, 17:17	# 2
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	בכדי לבדוק אם זה לא מהשרת שלך אתה יכול לבדוק לפי ה REFER... החלטתי לעשות לך חיים מאד קלים ולתת לך קוד שעובד ב 100 % בבקשה : PHP קוד: if (strtoupper($_SERVER['REQUEST_METHOD']) == 'POST') { if ($_SERVER['HTTP_HOST'] OR $_ENV['HTTP_HOST']) { $http_host = ($_SERVER['HTTP_HOST'] ? $_SERVER['HTTP_HOST'] : $_ENV['HTTP_HOST']); } else if ($_SERVER['SERVER_NAME'] OR $_ENV['SERVER_NAME']) { $http_host = ($_SERVER['SERVER_NAME'] ? $_SERVER['SERVER_NAME'] : $_ENV['SERVER_NAME']); } if ($http_host AND $_SERVER['HTTP_REFERER']) { $referrer_parts = parse_url($_SERVER['HTTP_REFERER']); $http_host = preg_replace('#^www\.#i', '', $http_host); $http_port = intval($referrer_parts['port']); $refhost = $referrer_parts['host'] . (!empty($http_port) ? ":$http_port" : ''); if (!preg_match('#' . preg_quote($http_host, '#') . '$#siU', $refhost)) { die('We Dont take POST requests (only from localhost) From other hosts.'); } } }


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

13-11-06, 16:37	# 1
4ior חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 1,451	או שאתה פשוט בודק אם הרפרר הוא האתר שלך $_SERVER['HTTP_REFERER'];

13-11-06, 21:06	# 5
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	אז תעשה SESSION וקוד רנדומלי ומה שהבאתי לך... בתכלס...למה ?? אתה צריך כזאת רמה של אבטחה ? לגבי המשתמש שמעליי....כמה אנשים כבר משתמשים באינטרנט סקיורטי ? וכמה מתוכם באמת ירצו לפרוץ את האתר שלו ? אז בוא נדבר תכלס...כל עוד אתה לא צריך אבטחה מטורפת, תשתמש במה שהבאתי לך ותגמור עניין. תמיד תזכור שאין כספת שאי אפשר לפרוץ... פשוט צריך להיות הפורץ המתאים...

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)