Например, у меня один и тот же обработчик регистрирует и изменяет профиль пользователя. Если профиль изменяется, то через скрытое поле передается параметр (все post), который и говорит это обработчику. Так вот, при РЕГИСТРАЦИИ не может ли пользователь заставить браузер обработать его данные не как для регистрации, а как для обработки??????
Спустя 2 часа, 34 минуты, 53 секунды (14.03.2009 - 20:18) kirik написал(а):
nasferatu, конечно может. Все что уходит пользователю - можно поменять как вздумается. Но если сделать некоторые проверки на стороне сервера, то тогда никакие подмены не страшны 
Спустя 15 часов, 32 минуты, 51 секунда (15.03.2009 - 11:51) nasferatu написал(а):
эт плохо. Как тогда в моем случае защититься??? Я так понимаю, что кроме проверки существования этого скрытого поля, также можно проверить на наличие записи в сессии, если сессия есть, значит пользователь зарегин и пытается изменить профиль, если нет, значит регистрируется. Но и это ведь не спасает. Какие тут можно сделать проверки?????
Мда, и такой еще вопрос, для общего развития. Как я, пользователь, могу изменить или добавить переменную, передаваемую скрытым полем, если передается post??
Мда, и такой еще вопрос, для общего развития. Как я, пользователь, могу изменить или добавить переменную, передаваемую скрытым полем, если передается post??
Спустя 4 часа, 11 минут, 58 секунд (15.03.2009 - 16:03) Sylex написал(а):
nasferatu
сохраняешь HTML-файл с регистрацией или с любой другой формой...
Отркываешь исходный код в любом редакторе и ищешь тег <form...> Меняешь поле action, дописывая туда полный URL, к примеру, было:
<form action="/registr.php"...
меняешь на
<form action="http://www.xxxxdomain.ru/registr.php"...
Открываешь сохраненный файл в браузере, и делаешь что хочешь. Далее форму можно менять как угодно, добавляя/изменяя нужные поля...
В чем проблема собственно? Для того и нужны проверки на сервере...
Объясни, конкретно, что у тебя за проблема, и чем это тебе грозит, а мы подскажем как быть
сохраняешь HTML-файл с регистрацией или с любой другой формой...
Отркываешь исходный код в любом редакторе и ищешь тег <form...> Меняешь поле action, дописывая туда полный URL, к примеру, было:
<form action="/registr.php"...
меняешь на
<form action="http://www.xxxxdomain.ru/registr.php"...
Открываешь сохраненный файл в браузере, и делаешь что хочешь. Далее форму можно менять как угодно, добавляя/изменяя нужные поля...
В чем проблема собственно? Для того и нужны проверки на сервере...
Объясни, конкретно, что у тебя за проблема, и чем это тебе грозит, а мы подскажем как быть
Спустя 9 минут, 36 секунд (15.03.2009 - 16:13) nasferatu написал(а):
спасибо, я об этом и не подумал даже
Свою проблему я описал выше.
Примерно, все так:
if ($upd == 1 ) echo "<input name='update' type='hidden' value='$login'>
в обработчике я проверяю isset($_POST['update']). Если существует, то получаю логин и изменяю данные в БД по этому логину. Если нет, то значит должна произойти регистрация. Вот здесь, я уже понял, что у меня огромная дыра, так я даю возможность кому не лень изменить данные любого пользователя. Вот мне здесь и нужно все закрыть.
Свою проблему я описал выше.
Примерно, все так:
if ($upd == 1 ) echo "<input name='update' type='hidden' value='$login'>
в обработчике я проверяю isset($_POST['update']). Если существует, то получаю логин и изменяю данные в БД по этому логину. Если нет, то значит должна произойти регистрация. Вот здесь, я уже понял, что у меня огромная дыра, так я даю возможность кому не лень изменить данные любого пользователя. Вот мне здесь и нужно все закрыть.
Спустя 1 час, 1 минута, 27 секунд (15.03.2009 - 17:14) nasferatu написал(а):
value='$login' - тут, конечно, я очень сильно сглупил.
Сделал чуть по другому. Оставил только запись
if ($upd == 1 ) echo "<input name='update' type='hidden'>
но также проверяю на существование update, но уже логин, который меняет свои данные беру из сессии. Дыра закрыта.
Сделал чуть по другому. Оставил только запись
if ($upd == 1 ) echo "<input name='update' type='hidden'>
но также проверяю на существование update, но уже логин, который меняет свои данные беру из сессии. Дыра закрыта.
Спустя 3 часа, 6 минут, 58 секунд (15.03.2009 - 20:21) Sylex написал(а):
Спустя 52 минуты, 52 секунды (15.03.2009 - 21:14) nasferatu написал(а):
Sylex, я прочитал, но все же как лучше и надежней сделать?? За регистрацию и изменение лучше, чтоб отвечало 2 скрипта или все же можно оставить один????
Спустя 16 минут, 34 секунды (15.03.2009 - 21:31) Sylex написал(а):
nasferatu
в чем ты видишь опасность, ты расскажи?
в чем ты видишь опасность, ты расскажи?
Спустя 22 минуты, 59 секунд (15.03.2009 - 21:54) nasferatu написал(а):
Sylex, после изменения кода, я особой опасности уже не вижу, но я еще очень многого не знаю, я только начинающий. Поэтому даже в таких вопросах мне нужны советы от знатоков.
Спустя 9 часов, 28 минут, 2 секунды (16.03.2009 - 07:22) Sylex написал(а):
nasferatu
прочитав твои сообщения, я понимаю что ты совсем не так мыслишь.... лучше тебе почитать еще хорошенько статей по PHP
прочитав твои сообщения, я понимаю что ты совсем не так мыслишь.... лучше тебе почитать еще хорошенько статей по PHP
Спустя 4 часа, 4 минуты, 30 секунд (16.03.2009 - 11:26) nasferatu написал(а):
Sylex, может и не так, но статей я прочитал очень много хороших и не очень. Я из тех людей, у кого возникают вопросы, часто на которых в книги не найдешь ответы. Но и здесь их не задашь, надо реальное общение. Поэтому все происходит поэтапно, там чуть-чуть, здесь чуть-чуть, чуть-чуть сам додумаю. Нет и не будет такой книги, где будут хотя бы половина ответов на мои вопросы 
Поэтому за глупые вопросы не ругайте :rolleyes Буду рад любой помощи
Поэтому за глупые вопросы не ругайте :rolleyes Буду рад любой помощи
Спустя 3 часа, 37 минут, 29 секунд (16.03.2009 - 15:04) Sylex написал(а):
nasferatu
тогда выложи МИНИМАЛЬНЫЙ код, который по-твоему был опасен, и покажи - чем и что можно сделать, доходчиво... За доходчивость, краткость и понятливость - больше внимания и объяснений
тогда выложи МИНИМАЛЬНЫЙ код, который по-твоему был опасен, и покажи - чем и что можно сделать, доходчиво... За доходчивость, краткость и понятливость - больше внимания и объяснений
Спустя 1 час, 10 минут, 45 секунд (16.03.2009 - 16:14) nasferatu написал(а):
Sylex, это будет правильней. Обязательно буду так делать, как только возникнет необходимость.