[PHP] כיצד ניתן לבדוק מהיכן טופס נישלח? - עמוד 2 - הוסטס

tnadav · 13-11-06, 17:53

ציטוט:

נכתב במקור על ידי RS324

בכדי לבדוק אם זה לא מהשרת שלך אתה יכול לבדוק לפי ה REFER...
החלטתי לעשות לך חיים מאד קלים ולתת לך קוד שעובד ב 100 %

בבקשה :

PHP קוד:


			
if (strtoupper($_SERVER['REQUEST_METHOD']) == 'POST')
{
    if ($_SERVER['HTTP_HOST'] OR $_ENV['HTTP_HOST'])
    {
        $http_host = ($_SERVER['HTTP_HOST'] ? $_SERVER['HTTP_HOST'] : $_ENV['HTTP_HOST']);
    }
    else if ($_SERVER['SERVER_NAME'] OR $_ENV['SERVER_NAME'])
    {
        $http_host = ($_SERVER['SERVER_NAME'] ? $_SERVER['SERVER_NAME'] : $_ENV['SERVER_NAME']);
    }
    if ($http_host AND $_SERVER['HTTP_REFERER'])
    {
        $referrer_parts = parse_url($_SERVER['HTTP_REFERER']);
        $http_host = preg_replace('#^www\.#i', '', $http_host);
        $http_port = intval($referrer_parts['port']);
        $refhost = $referrer_parts['host'] . (!empty($http_port) ? ":$http_port" : '');

        if (!preg_match('#' . preg_quote($http_host, '#') . '$#siU', $refhost))
        {
            die('We Dont take POST requests (only from localhost) From other hosts.');
        }
    }
}

חשוב לציין שתוכנות כמו Norton Internet Security מוחקות את הרפרר וקל מאוד לזייף אותו

ככה ש- Session זה הפיתרון הכי טוב

-VladK- · 13-11-06, 20:56

ציטוט:

נכתב במקור על ידי tnadav

חשוב לציין שתוכנות כמו Norton Internet Security מוחקות את הרפרר וקל מאוד לזייף אותו

ככה ש- Session זה הפיתרון הכי טוב

SESSION דווקא הוא לא הכי טוב...שמעתי שיש תוכנה או משהו שמאפשרת למחוק סשנים =/

RS324 · 13-11-06, 21:06

אז תעשה SESSION וקוד רנדומלי ומה שהבאתי לך...
בתכלס...למה ?? אתה צריך כזאת רמה של אבטחה ?

לגבי המשתמש שמעליי....כמה אנשים כבר משתמשים באינטרנט סקיורטי ? וכמה מתוכם באמת ירצו לפרוץ את האתר שלו ?

אז בוא נדבר תכלס...כל עוד אתה לא צריך אבטחה מטורפת, תשתמש במה שהבאתי לך ותגמור עניין.

תמיד תזכור שאין כספת שאי אפשר לפרוץ...
פשוט צריך להיות הפורץ המתאים...

-VladK- · 13-11-06, 21:07

ציטוט:

נכתב במקור על ידי RS324

אז תעשה SESSION וקוד רנדומלי ומה שהבאתי לך...
בתכלס...למה ?? אתה צריך כזאת רמה של אבטחה ?

לגבי המשתמש שמעליי....כמה אנשים כבר משתמשים באינטרנט סקיורטי ? וכמה מתוכם באמת ירצו לפרוץ את האתר שלו ?

אז בוא נדבר תכלס...כל עוד אתה לא צריך אבטחה מטורפת, תשתמש במה שהבאתי לך ותגמור עניין.

תמיד תזכור שאין כספת שאי אפשר לפרוץ...
פשוט צריך להיות הפורץ המתאים...

תודה רבה לך !

ואגב אהבתי את המשפט |קורץ|

tnadav · 13-11-06, 21:11

ציטוט:

נכתב במקור על ידי RS324

אז תעשה SESSION וקוד רנדומלי ומה שהבאתי לך...
בתכלס...למה ?? אתה צריך כזאת רמה של אבטחה ?

לגבי המשתמש שמעליי....כמה אנשים כבר משתמשים באינטרנט סקיורטי ? וכמה מתוכם באמת ירצו לפרוץ את האתר שלו ?

אז בוא נדבר תכלס...כל עוד אתה לא צריך אבטחה מטורפת, תשתמש במה שהבאתי לך ותגמור עניין.

תמיד תזכור שאין כספת שאי אפשר לפרוץ...
פשוט צריך להיות הפורץ המתאים...

הכוונה היא שזה פשוט לא יעבוד להם.. כי אין להם רפרר, אז הם לא יכולו להשתמש באתר, וחוץ מזה, אם בכזאת קלות אפשר לפרוץ את זה, אז למה סתם להשקיע את המאמץ בלבדוק רפרר?

אז יש משהו שמאפשר למחוק סאשנים, מי שהפעיל את זה הפעיל את זה בכוונה וזה לא יעבוד לו

סאשנים פשוט מוחקים את העוגיה שיש שם את המידע או מה- URL...

הקטע הוא כזה:
סאשן אפשר למחוק, אך ורק מידיעת המשתמש, ואז זה לא יעבוד לו..
רפרר לפעמים נמחק ללא ידיעה, ואז זה לא יעבוד לו והוא לא יידע למה ויתחיל להציף אותך בשאלות..

זאת הייתה הכוונה שלי שיש תוכנות שמוחקות את זה..

-VladK- · 13-11-06, 21:20

ציטוט:

נכתב במקור על ידי tnadav

הכוונה היא שזה פשוט לא יעבוד להם.. כי אין להם רפרר, אז הם לא יכולו להשתמש באתר, וחוץ מזה, אם בכזאת קלות אפשר לפרוץ את זה, אז למה סתם להשקיע את המאמץ בלבדוק רפרר?

אז יש משהו שמאפשר למחוק סאשנים, מי שהפעיל את זה הפעיל את זה בכוונה וזה לא יעבוד לו

סאשנים פשוט מוחקים את העוגיה שיש שם את המידע או מה- URL...

הקטע הוא כזה:
סאשן אפשר למחוק, אך ורק מידיעת המשתמש, ואז זה לא יעבוד לו..
רפרר לפעמים נמחק ללא ידיעה, ואז זה לא יעבוד לו והוא לא יידע למה ויתחיל להציף אותך בשאלות..

זאת הייתה הכוונה שלי שיש תוכנות שמוחקות את זה..

עיבדתה אותי קצת...אתה אומר שיש תוכנות אשר מבטלות רפרר...מה שיגרום למשתמש לא לראות את האתר...אז מה הקטע של התוכנות האלא? או שפשוט לא הבנתי אותך (דאמט יש לי בלוק על הראש...לא יכול לחשוב על היום =/)

עריכה קטנה:
אההההם הרגע עשיתי בדיקה קטנה בנושא של האותיות באנגלית...הוא מחזיר לי ערך של אמת רק אם האותיות ABC ולא abc ...

PHP קוד:


			
if(!preg_match('/^[A-Z]*$/', $username))

tnadav · 13-11-06, 21:28

ציטוט:

נכתב במקור על ידי Pilmen

עיבדתה אותי קצת...אתה אומר שיש תוכנות אשר מבטלות רפרר...מה שיגרום למשתמש לא לראות את האתר...אז מה הקטע של התוכנות האלא? או שפשוט לא הבנתי אותך (דאמט יש לי בלוק על הראש...לא יכול לחשוב על היום =/)

מה לעשות, יש תוכנות כמו Norton Internet Security, כמו שאמרתי מקודם, שככל הנראה ללא ידיעת המשתמש, מסיבה שאני ממש לא יודע למה (יותר מאובטח?

) מוחקות את הערך ברפרר, יש אפילו דפדפנים מסוימים שעושים את זה, ואז, אותם משתמשים לא יוכלו להיכנס לאתר כי הגישה נחסמה.

רפרר זה מידע יותר מידי לא אמין, את הרפרר הלקוח שולח, והשרת אוכל אותו בלי מלח. זה לא כמו IP, שיותר מסובך לזייף, מכיוון שהשלקוח שולח, והשרת שולח ל- IP שהלקוח אמר לו, אז זה יותר מסובך.. אבל אפשרי. פה, אין שום קושי בלעבוד על השרת ואי-אפשר לעשות עם זה כלום, וכמו שאמרתי יש תונכות שמוחקות את זה.. בגלל זה, לדבר כל-כך חשוב לא מומלץ להאמין במידע הזה.

מה שעוד יותר מפחיד, זה שבלי SSL אפשר בקלות ליירט את מה שהמשתמש כתב אבל זה לא קשור לנושא

אגב, לא מניסיון אישי.. זה מה שאמרו לי ששאלתי על רפרר, ולאותו אחד היה ניסיון אישי

-VladK- · 13-11-06, 21:33

ציטוט:

נכתב במקור על ידי tnadav

מה לעשות, יש תוכנות כמו Norton Internet Security, כמו שאמרתי מקודם, שככל הנראה ללא ידיעת המשתמש, מסיבה שאני ממש לא יודע למה (יותר מאובטח?

) מוחקות את הערך ברפרר, יש אפילו דפדפנים מסוימים שעושים את זה, ואז, אותם משתמשים לא יוכלו להיכנס לאתר כי הגישה נחסמה.

רפרר זה מידע יותר מידי לא אמין, את הרפרר הלקוח שולח, והשרת אוכל אותו בלי מלח. זה לא כמו IP, שיותר מסובך לזייף, מכיוון שהשלקוח שולח, והשרת שולח ל- IP שהלקוח אמר לו, אז זה יותר מסובך.. אבל אפשרי. פה, אין שום קושי בלעבוד על השרת ואי-אפשר לעשות עם זה כלום, וכמו שאמרתי יש תונכות שמוחקות את זה.. בגלל זה, לדבר כל-כך חשוב לא מומלץ להאמין במידע הזה.

מה שעוד יותר מפחיד, זה שבלי SSL אפשר בקלות ליירט את מה שהמשתמש כתב אבל זה לא קשור לנושא

אגב, לא מניסיון אישי.. זה מה שאמרו לי ששאלתי על רפרר, ולאותו אחד היה ניסיון אישי

אהא...אוקיי תודה רבה...(אז עכשיו מה אני יעשה?

)...אגב ערכתי את ההודעה שם...(הקודמת שלה הגבתה...)

RS324 · 13-11-06, 22:05

אוקי 2 דברים....

קודם כל.

לגבי השאלה הראשונה ב PREG_MATCH תעשה
[A-Za-z]
וזה יקלוט גם אותיות קטנות

עכשיו נדב אתה עשית בלבול אחד גדול (מצטער אבל אפילו לא טרחתי לכתוב את כל ההודעות שלך)
מה שאני עשיתי זה פשוט מאד
אתה בודק אם ה POST הגיע ממקום מסויים... אם אתה בתוך אתר אחר ומישהו עשה POST משרת אחר אז ה REFER עובר בין השרתים (לא בטוח - צריך לבדוק את זה לעומק ככה,אני דיי עייף כרגע) ככה שלא קשור לדפדפן שלך או לתוכנות שהתקנת במחשב.... HTTP_REFER פשוט בודק אם הגעת מאתר מסויים...אם מישהו הפנה אליך עשה לך POST משרת אחר וכד'.
אני עשיתי שם בדיקה נוספת אם יש לך WWW כלומר הגעת מאתר - אבל אם תוריד את הטופס ותשים על המחשב ותעשה פוסט... זה יעבוד...
וזה המטרה של זה בעצם...שלא יעשו POST מאתרים אחרים...
לא מאמין לי ? אתה מוזמן לנסות ולראות לבד...

tnadav · 13-11-06, 23:00

ציטוט:

נכתב במקור על ידי RS324

אוקי 2 דברים....

קודם כל.

לגבי השאלה הראשונה ב PREG_MATCH תעשה
[A-Za-z]
וזה יקלוט גם אותיות קטנות

עכשיו נדב אתה עשית בלבול אחד גדול (מצטער אבל אפילו לא טרחתי לכתוב את כל ההודעות שלך)
מה שאני עשיתי זה פשוט מאד
אתה בודק אם ה POST הגיע ממקום מסויים... אם אתה בתוך אתר אחר ומישהו עשה POST משרת אחר אז ה REFER עובר בין השרתים (לא בטוח - צריך לבדוק את זה לעומק ככה,אני דיי עייף כרגע) ככה שלא קשור לדפדפן שלך או לתוכנות שהתקנת במחשב.... HTTP_REFER פשוט בודק אם הגעת מאתר מסויים...אם מישהו הפנה אליך עשה לך POST משרת אחר וכד'.
אני עשיתי שם בדיקה נוספת אם יש לך WWW כלומר הגעת מאתר - אבל אם תוריד את הטופס ותשים על המחשב ותעשה פוסט... זה יעבוד...
וזה המטרה של זה בעצם...שלא יעשו POST מאתרים אחרים...
לא מאמין לי ? אתה מוזמן לנסות ולראות לבד...

אין, יש תוכנות שחוסמות לגמרי רפרר

עירכה לעריכה

תנסה:

PHP קוד:


			
if(!preg_match('/^[A-Z]*$/i', $username))


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

13-11-06, 21:06	# 13
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	אז תעשה SESSION וקוד רנדומלי ומה שהבאתי לך... בתכלס...למה ?? אתה צריך כזאת רמה של אבטחה ? לגבי המשתמש שמעליי....כמה אנשים כבר משתמשים באינטרנט סקיורטי ? וכמה מתוכם באמת ירצו לפרוץ את האתר שלו ? אז בוא נדבר תכלס...כל עוד אתה לא צריך אבטחה מטורפת, תשתמש במה שהבאתי לך ותגמור עניין. תמיד תזכור שאין כספת שאי אפשר לפרוץ... פשוט צריך להיות הפורץ המתאים...

13-11-06, 22:05	# 19
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	אוקי 2 דברים.... קודם כל. לגבי השאלה הראשונה ב PREG_MATCH תעשה [A-Za-z] וזה יקלוט גם אותיות קטנות עכשיו נדב אתה עשית בלבול אחד גדול (מצטער אבל אפילו לא טרחתי לכתוב את כל ההודעות שלך) מה שאני עשיתי זה פשוט מאד אתה בודק אם ה POST הגיע ממקום מסויים... אם אתה בתוך אתר אחר ומישהו עשה POST משרת אחר אז ה REFER עובר בין השרתים (לא בטוח - צריך לבדוק את זה לעומק ככה,אני דיי עייף כרגע) ככה שלא קשור לדפדפן שלך או לתוכנות שהתקנת במחשב.... HTTP_REFER פשוט בודק אם הגעת מאתר מסויים...אם מישהו הפנה אליך עשה לך POST משרת אחר וכד'. אני עשיתי שם בדיקה נוספת אם יש לך WWW כלומר הגעת מאתר - אבל אם תוריד את הטופס ותשים על המחשב ותעשה פוסט... זה יעבוד... וזה המטרה של זה בעצם...שלא יעשו POST מאתרים אחרים... לא מאמין לי ? אתה מוזמן לנסות ולראות לבד...

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)