Autor Zpráva
Levelson
Profil *
Z bezpečnostní důvodů potřebuju aby na stránku

http://mujserver.cz/modules.php?name=uploud&id=1

byl přístup pouze ze stránky:

http://mujserver.cz/modules.php?name=modul

z které se POSTEM odesílají různá data z formuláře ke zpracování, nevím přesně jak to korektně ošetřit.
Napadlo mně využití $_SERVER['HTTP_REFERER']... a porovnávání shody povolené adresy, ale nevím jestli to bude bezpečné a dostačující, jestli se nedá nějak lehce podstrčit jiná hodnota HTTP_REFERER (atd).

Začínám, nechám si radši poradit, díky
Chamurappi
Profil
Reaguji na Levelsona:
jestli se nedá nějak lehce podstrčit jiná hodnota HTTP_REFERER
Dá.
Levelson
Profil *
TO Chamurappi:
to je hezké :(((

co bys mi doporučil, htaccess na serveru nemůžu mít, takže to musím ošetřit jen v PHP! ale jak aby to bylo neprůstřelný?
vynalezce
Profil
k cemu to vlastne potrebujes?

co takhle ulozit na te strance id, ip, prohlizec cas datum atp. do db, hash id do cookies a overovat to na te dalsi strance
joe
Profil
Tak si ukládej třeba do session poslední navštívenou stránku a jak to nebude ta, kterou jsi napsal, tak ho tam nepustíš a přesměruješ jinam.
vynalezce
Profil
Tak si ukládej třeba do session poslední navštívenou stránku a jak to nebude ta, kterou jsi napsal, tak ho tam nepustíš a přesměruješ jinam.

ja bych doporucoval hodit 404ku
Alphard
Profil
Typickým řešením jsou tokeny.
Levelson
Profil *
Session OK, celkem chápu, vyzkouším...
ale ty Tokeny, neznám, nemáte nato nějaký odkaz k pochopení (viz. Alphard)
díky
Nox
Profil
http://php.vrana.cz/cross-site-request-forgery.php
imploder
Profil
vynalezce
ja bych doporucoval hodit 404ku
404ku (Not found) ne, to by znamenalo, že stránka na dané adresa neexistuje (což existuje). Na tohle je 403ka (Forbidden).

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: