Forum PHP.pl

Witam mam taki glupi problem oto maja taki kod:
http://pyp.net.pl/source/4f1ad742429ff
No i o ile pokazuje nam ze token wygenerowany i wpisany w html jako pole hidden jest taki sam jak ten z sesji przed wyslaniem formularza, to juz po wyslaniu formularza ten z $_POST['token'] zmienia.

Problem banalny ale stwarza mi wiecej problemow niz te bardziej skomplikowane.

Tutaj mozna sobie zobaczyc http://marcio.ekmll.com/formbuilider/index...news&id=301
login: ebreo
pass: qwerty

Ten post edytował marcio 21.01.2012, 16:18:29

Ty wogóle nie przekazujesz nigdzie tokena.
Żadnego inputa nie ma.

Mam nadzieje że o to ci chodzi.
Pozdrawiam.

@szmerak: Jak to nie ma?

@marcio: Zastanów się, czy w dobrym miejscu generujesz token. Zauważ, że w tej chwili każde przeładowanie strony (czy to odświeżenie, czy zatwierdzenie formularza) powoduje wykonanie tej linijki kodu:

[PHP] pobierz, plaintext 
$token = $this -> security -> csrf_token_generate();
[PHP] pobierz, plaintext 

Natomiast sprawdzenie formularza następuje później i zawsze.
Algorytm powinien być raczej inny:
1. sprawdź, czy zatwierdzono formularz, jeśli tak to 2, jeśli nie to 5
2. sprawdź czy csrf się zgadza, jeśli tak to 3, jesli nie to 4,
3. update, powrót do poprzedniej strony
4. wyświetl błędy, idź do 5
5. wygeneruj csrf i wyświetl formularz
To w dużym uproszczeniu.

EDIT: Zapomniałem o jeszcze jednej ważnej kwestii. Chodzi o to, czym mianowicie jest $this->security, bo mogę jedynie zgadywać. W każdym bądź razie istotnym jest, aby ten obiekt (bo chyba to jest obiekt) przechowywał wygenerowany token np. w sesji czy w bazie danych. Mam nadzieję, że to robi, bo inaczej to nie mamy o czym rozmawiać (IMG:style_emoticons/default/wink.gif)

Ten post edytował mortus 21.01.2012, 22:26:15

Tak jak napisal @mortus prosze najpierw dobrze sprawdzic i pozniej ewentualnie wyciagac wnioski.

@mortus masz racje ze generowanie powinno byc w czasie wysylania formularza bo tak jak mowisz token w moim przypadku bedzie generowal sie x2, w czasie ladowania formularza i w czasie jego wyslania zgadzam sie.

Ale wtedy musze recznie ustawic token jesli mam go uzyc po wyslaniu formy, nie moge uzyc pola typu hidden do formularza bo formularz jest wyswietlany 1 raz przed jego wyslalniem potem nie tworze juz formularza.

Czyli mam:

[PHP] pobierz, plaintext 
//tworzenie pola typu hidden dla tokenu
$this -> form_builider -> add_field('token');
$this -> form_builider -> set_token_value($token);
$this -> form_builider -> add_form_action(array('action' => 'update_'.$table));
[PHP] pobierz, plaintext 

A dopiero potem:

[PHP] pobierz, plaintext 
if(isset($_POST['submit_formy']))
{
    //walidacja,zapis itp...itd...
}
[PHP] pobierz, plaintext 

Czyli musze to zrobic bez niewidocznego pola.


Pewnie to jest oczywiste (IMG:style_emoticons/default/wink.gif)

[PHP] pobierz, plaintext 
	/**
	*Generuje token dla csrf
	*@access public
	*@return string
	*/
	public function csrf_token_generate()
	{
		if($this -> is_csrf())
		{
			$token = substr(md5(uniqid()), 1, 10);
			$_SESSION['token'] = $token;
			return $token;
		}
 
		return null;
	}
 
 
	/**
	*Sprawdza zgodnosc tokenu z get'a z tym z zapisanym w sesji
	*@access public
	*@return bool
	*/
	public function csrf_check_token()
	{
		if($this -> csrf)
		{
			if($_POST['token'] == $_SESSION['token'])
				return true;
			else
				throw new Volta_Admin_Generator_Csrf_Exception("Zly token.");
		}
 
		return null;	
	}
[PHP] pobierz, plaintext 

Dzieki za odp.

Może źle się wcześniej wyraziłem, albo źle zinterpretowałeś moją wypowiedź. Schemat ogólny:

[PHP] pobierz, plaintext 
$renderForm = true;
if(isset($_POST['submit_form_sbt'])) {
 // walidacja, zapis, itd.
 // a jeśli wszystko się powiedzie to albo następuje przekierowanie, albo pozostajemy na tej samej stronie, ale już nie renderujemy formularza edycji danych
 // jeśli korzystamy z przekierowania to nie ma potrzeby korzystać ze zmiennej $renderForm
 if($wszystkoOk) $renderForm = false;
}
if($renderForm) {
 // generujemy token i renderujemy formularz
}
[PHP] pobierz, plaintext 

Po prostu musisz najpierw sprawdzić, czy formularz już został zatwierdzony i czy został prawidłowo wypełniony, a jeśli nie to wyświetlić formularz i ewentualne błędy.
Musisz tylko zmienić kolejność działań.

EDIT:
To co masz przed instrukcją warunkową (linie 8-23 włącznie)

[PHP] pobierz, plaintext 
if(isset($_POST['submit_form_sbt']))
[PHP] pobierz, plaintext 

przenieś przed (linia 80)

[PHP] pobierz, plaintext 
return $view;
[PHP] pobierz, plaintext 

i powinno działać.

Ten post edytował mortus 22.01.2012, 13:44:01

potem cos zdzialam na dniach mam malo czasu, jak juz poprawie dam znac ;]

EDIT:
Wystarczylo zrobic:

[PHP] pobierz, plaintext 
if(!isset($_POST['submit_form_sbt']))
    $token = $this -> security -> csrf_token_generate();
[PHP] pobierz, plaintext 

I juz nie generuje tokena x2 ;p glupie pytanie i jeszcze glupsze rozwiazanie (IMG:style_emoticons/default/snitch.gif)

Ten post edytował marcio 22.01.2012, 14:55:44