[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Принципы элементарной защиты PHP скриптов
Форум PHP программистов > PHP для начинающих
hammer_tm
27.11.2012 - 04:26
Здравствуйте!
Какой, по вашему мнению, метод защиты скрипта для обработки запросов наиболее эффективен?

1 Вариант:

if( ereg( '^http://' .$HTTP_HOST ,getenv ('HTTP_REFERER' ))){
echo "Все, ок! Хост свой, выполняем скрипт";
................
Сам скрипт
................
}
else {
			die('Ошибка! Чужой реф...');
		}


2 Вариант:

Из другого скрипта, на нашем хосте, передаются следующие данные:

define ( 'whoishost', true );


А это наш скрипт обработки запросов:

if (! defined ( 'whoishost' )) {
	die ( "Ошибка! Чужой реф!" );
}
else {
			.................
                        Сам скрипт
                        ................
		}


Я где-то слышал, что в 1 варианте, при большом желании злоумышленник может подделать и законспирироваться под имя хоста.
Так ли это на самом деле? И какие есть плюсы и минусы этих вариантов?

hydrogen
27.11.2012 - 04:39
Цитата
Я где-то слышал, что в 1 варианте, при большом желании злоумышленник может подделать и законспирироваться под имя хоста.

Этот заголовок несложно подделать и без большого желания.

Во втором варианте не понял:
Цитата
Из другого скрипта, на нашем хосте, передаются следующие данные

Как передаются? Куда передаются? blink.gif
Вы имеете в виду проверку через сессию?

Оффтоп: else'ы в данном случае не нужны. Только усложняют структуру кода. Просто if (...) die('=D');

_____________
inpost
27.11.2012 - 05:55
Ты где про ereg вычитал? Его уже как лет 5 нигде не преподают smile.gif

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
hydrogen
27.11.2012 - 08:08
Цитата
Вы имеете в виду проверку через сессию?

Или защиту от прямого доступа к подключаемым файлам? Так лучше их вообще за пределами веб-рута держать.

_____________
Hello
27.11.2012 - 10:23
hammer_tm используйте второй вариант

_____________
VPS от 5$, первые 2 месяца - бесплатно.
T1grOK
27.11.2012 - 12:00
Цитата (hammer_tm @ 27.11.2012 - 00:26)
if (! defined ( 'whoishost' )) {
	die ( "Ошибка! Чужой реф!" );
}
else {
  	.................
                        Сам скрипт
                        ................
  }

else здесь лишний, в случай чего die остановит скрипт и все.

_____________
Mysql, Postgresql, Redis, Memcached, Unit Testing, CI, Kohana, Yii, Phalcon, Zend Framework, Joomla, Open Cart, Ymaps, VK Api
hammer_tm
27.11.2012 - 16:35
Цитата
Или защиту от прямого доступа к подключаемым файлам?


Именно так :-)

Цитата
Ты где про ereg вычитал? Его уже как лет 5 нигде не преподают


Ну я не в курсе, преподают его или нет, т.к. я самоучка :-) php мое хобби


Всем спасибо за помощь, буду пользоваться вторым вариантом

inpost
27.11.2012 - 17:50
if(!defined()) {
    exit();
}
lalala
обычный код...
без else!

Не будет лесенки.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.