זאת אומרת מאיזה טופס באיזה עמוד הוא הופנה? (אני מקבל נתונים לדף בצורת POST).
קצת קשה להסביר למה אני צריך את זה אבל זה ממש חשוב.
תודה לעוזרים :)
15 תשובות
כן, במשתנה
נמצאת כתובת העמוד שממנה הטופס נשלח או נמצא הקישור שהמשתמש לחץ כדי להגיע לעמוד הנוכחי.
אם הוא ריק - זה אומר שהמשתמש כתב את הכתובת של העמוד ישירות בשורת הכתובת.
תודה רבה :)
אפשר להערים על המשתנה הזה, זאת אומרת איך שהוא לשנות אותו? (בכל זאת- SERVER)
אני רוצה להיות בטוח במאה אחוז שאין עוד פירצות שיותר מדי קלות לפיצוח.
כן, אפשר. referer מגיע מהדפדן וניתן לשינוי בקלות.
אם אתה צריך את זה לצורכי אבטחה, תוסיף לטופס שדה חבוי עם ערך רנדומלי. את אותו הערך תכניס גם לסשן.
בעמוד שאליו התופס נשלח - תבדוק שהשדה מהטופס והערך בסשן זהים. בצורה הזו המשתמש יהיה חייב קודם לפתוח את העמוד של הטופס (שבו ירשם לסשן משהו) ורק אחרי זה לשלוח נתונים לעמוד הבדיקה.
הבעיה היא שהשליחה לא מתבצעת מדף PHP אלא מקובץ פלאש, שאפשר לראות את המקור שלו בלי בעיות, ערך חבוי לא יעזור..
גם תוכן של שדה חבוי בטופס אפשר לראות בלי בעיות. המטרה היא לא שיהיה חבוי, אלה שהשרת ייצר אחד כזה, יכניס לסשן והטופס מהפלאש ישלח אותו. זו הדרך היחידה לוודא שהבן אדם לפני זה פתח את קובץ הפלאש.
קצת להקשות אפשר על ידי הוספת קוד לתוך הפלאש, שמוסיף עוד שדה נוסף לתוכן של הטופס עם md5 של המחרוזת הרנדומלית + איזושהי סיסמה/קוד(salt) קבוע שמובנה בתוך הפלאש. הסקריפט המקבל יבדוק את קיום השדה ואת התאימות של הערך.
הדבר הזה יכול, במקרה הטוב, להוסיף עוד שלב שמצריך דיקומפילציה של קובץ הפלאש, כדי להוציא משם את הסיסמה. אבל בכל מקרה, כזה או אחר, אי אפשר לאבטח בצורה טכנית יותר מזה. כל קוד שרץ על המכונה של הלקוח - הוא על המכונה של הלקוח והלקוח יכול לעשות איתו מה שהוא רוצה, כולל לכתוב קוד דומה משלו ששולח את אותם הנתונים.
תודה, עכשיו כשאני חושב על זה, אני לא חושב שמישהו כל-כך ישקיע בזה, סך הכל לקבל כסף וירטואלי באתר (זה ללא פרסים במציאות) אז אני אסתפק בתשובה הקודמת.
תודה רבה, עזרת לי מאוד!
לא ממש הבנתי את התשובה שלו..
יש אפשרות בכלל ליצור סשן בפלאש?
ו-md5, אני מתכנת ב-AS2...
יוסי שאני לא ידע במה אתה מתכנת?
בכל מקרה אתה יכול לטעון קובץ שהוא יצור את הסשן..
וMD5 כמובן זה אפשרי בפלאש עם מחלקה מיוחדת...
ואז גם המשתמש יוכל לטעון את הקובץ.
בעצם יכול להיות שעליתי על פתרון, אני יצרתי דף שממנו מקבלים מחרוזת רנדומלית, ועוד דף שבודק את המחרוזת (המחרוזת מוכנסת למסד בצירוף ה-IP) ואת כתובת ה-IP במידה ונכון, זה מוסיף את הפרס ומוחק את המחרוזת, במידה ולא, זה לא עושה כלום.
הבעיה שלי מלכתחילה הייתה ששכחתי מ-crossdomain, הוספתי עכשיו אחד כזה שמאפשר טעינה רק מאותו דומיין, ונראה לי שזה יפתור את כל הבעיות.
את crossdomain אי אפשר לעקוף? (אני אומר את זה בחצי היגד חצי שאלה)
אגב:
"יוסי שאני לא ידע במה אתה מתכנת?"
זה טעות כתיב או שפשט לא הבנתי מה רצית להגיד?
זה לא זה שגיאת כתיב...
ו-crossdomain אפשר לעקוף....
אפשר לעקוף הכול עם קצת מתאמצים...
אממ יש הגנה...
לדוגמה צריך לדאוג שלא יעשו לקובץ פלאש שלך decompile
ואז אתה צריך לנסות לעשות איזה משהו לטקסט שאתה רוצה להעביר במין "פונקציה" סודית ככה שרק מי שיצר אותה יודע....