[PHP][JavaScript]Zabezpieczenie formularza Opcje

[dark_root]

Posiadam na stronie formularz, w którym w hidden są przesyłane dane, których internauta nie powinien widzieć. Jak skutecznie zabespieczyć formularz, żeby niektóre przesyłane w nim informacje, które w zasadzie są stałymi nie były widoczne w podglądzie kodu źródłowego lub jak skótecznie zabespieczyć podglądanie skryptu?

[k_@_m_i_l]

Zamiast ukrytych pól,lepiej zastosuj sesje jeżeli chcesz żeby użytkownik nie widział tych danych.

[bełdzio]

skoro są w zasadzie stałymi to dlaczego nie trzymać ich tylko po stronie serwera?

[ja_fryta]

najlepiej jest zrobic tak jak ci pisza koledzy wyzej ale jezeli dane te musza byc trzymane po stronie klienta to mozesz je jeszcze wlozyc do ciasteczka

[dark_root]

A jak użyć sesji, żeby użytkownik nie widział w kodzie strony tych ważnych i zarazem niezbędnych dla niego danych?

Kod

<?php
session_start();
$_SESSION['123']=123456;
$_SESSION['456']=123456;
?>
<form action="<?=$_GET['ff']?>" method="post">
Login:<input type=text name=login value="<?=$_SESSION['123']?>">
Hasło:<input type=password name=pass value="<?=$_SESSION['456']?>">
<input name="dl.start" value=wyślij type="submit">
</form>

Zrobiłem coś takiego, ale jak można się domyśleć w kodzie było widać dane. Jak ich użyć i jednocześnie nie dać ich poznać internaucie za pomocą sesji?

Ten post edytował dark_root 26.07.2008, 10:34:17

[Shili]

Jasne, że było widać dane, bo wpisane są jako wartości formularza. Jeśli nie chcesz dać ich poznać użytkownikowi, to zainicjuj wartością zmienną sesyjną:

[PHP] pobierz, plaintext 
<?php
$_SESSION['tajne'] = "tajne dane";
?>
[PHP] pobierz, plaintext 

I nie rób z tym na stronie formularza nic więcej. Dopiero na stronie do której prowadzi formularz odczytaj sobie tą zmienną sesyjną i tyle.

[dark_root]

Zrobiłem coś takiego, ale nie działa:
index.php

Kod

<form action="premium.php" method="GET">
<?php
$_SESSION['tajne'] = "tajnedane";
$_SESSION['dane'] = "tajnedane";
?>
<input type=text name=ff><br>
<input type=submit value="Wyślij">
</form>

premium.php

Kod

<form action="<?=$_GET['ff']?>" method="post">
Login:<input type=text name=login value="<?=$_SESSION['tajne']?>">
Hasło:<input type=password name=pass value="<?=$_SESSION['dane']?>">
<input name="dl.start" value=wyślij type="submit">
</form>

Gdzie wkradł się błąd?

[ShadowD]

Zresztą piszesz, że są to stałe a mam wrażenie, że chcesz w nich trzymać hasło i nick...

Napisz o co ci chodzi bo z tego kodu nic nie można wywnioskować...

Człowiek całe życie się uczy... ;p

Ten post edytował ShadowD 26.07.2008, 11:14:53

[bełdzio]

jesli wkladasz dane do sesji to nie echuj ich nigdzie na stronie, po prostu korzytaj z tablicy $_SESSION

poczytaj o sesjach w manualu

//

@ShadowD: <?= to skrócona wersja <? echo

Ten post edytował bełdzio 26.07.2008, 11:12:46

[dark_root]

Login i hasło są to stałe. Mam konto na pewnej popularnej stronie, które nieźle kosztuje i postanowiłem się nim podzielić. Jednak chcę się zabezpieczyć przed ewentualną kradzieżą konta. W tym celu te wszystkie kombinacje.

[Shili]

Zapisz sobie w stałych gdzieś w pliku login i hasło.
Umieść formularz tylko z buttonem zaloguj i kod

[PHP] pobierz, plaintext 
<?php
if(isset($name_buttona_zaloguj)) {
	  // skorzystaj tutaj z tych stałych zdefiniowanych wcześniej, żeby się zalogować na
 konto
   }
?>
[PHP] pobierz, plaintext 

O to Ci chodziło?

[ShadowD]

Aaaaa, chcesz zrobić formularz do logowania... (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Za pomocą przycisku loguj bez podawania hasła ma się przekierowywać na inną stronę.

Możesz jedynie zakodować hasło w js i przy klikaniu na przycisk wstawiać go inaczej tego nie zrobisz, a bynajmniej ja nie znam innego sposobu...

[dark_root]

Z tego co zrozumiałem chodzi CI o to, żeby passy pobierać z pliku. Dobry pomysł tylko nie wiem jak takie coś wykonać. Możesz podac przykładowy gotowy kod?
ShadowD a można by ustalić własne kodowanie np. a=@q1 i zapisać jakoś w php, żeby przeglądarka tego nie wyświetliła i nastepnie wpisać w login=@q1@q1@q1@q1@q1 a naprawdę wpisywało by aaaaa?

Ten post edytował dark_root 26.07.2008, 12:09:59

[Shili]

Bogowie... Pokombinowałeś sam? Jak nie to czas najwyższy zacząć wreszcie!
Najprościej:

plik bla.php

[PHP] pobierz, plaintext 
<?php
$login='tajny login';
$haslo='tajne hasło';
?>
[PHP] pobierz, plaintext 

plik, gdzie to odczytujesz

[PHP] pobierz, plaintext 
<?php
include ('bla.php');
?>
[PHP] pobierz, plaintext 

[dark_root]

Niestety ten sposób nie zakryje passów. Nadal będą one widoczne w skrypcie strony.

[Shili]

Nie będą. W jaki niby sposób miałyby być widoczne?!

[dark_root]

bla.php

Kod

<?php
$login='aaaaaa';
$haslo='aaaaaa';
?>

aa.php

Kod

<?php
include ('bla.php');
?>
<form action="<?=$_GET['ff']?>" method="post">
Login:<input type=text name=login value="<?=$login ?>">
Hasło:<input type=password name=pass value="<?=$haslo ?>">
<input name="dl.start" value=wyślij type="submit">
</form>

Efekt widać tutaj
Hasło i login są widoczne ponieważ muszę je wpisać w formularz, żeby pomyślnie się zalogować.

[Shili]

Nie musisz, napisałam wyraźnie że nie musisz.

Zrób formularz z samym przyciskiem zaloguj. Tylko i wyłącznie. A po kliknięciu skorzystaj ze zmiennych ustawionych wcześniej.

[dark_root]

Z przyjemnością postawię ci "pomógł" jednak nie działa. Nie wiem, czy zrozumiałeś mnie dobrze, ale strona docelowa, na którą chcę się zalogować nie jest moja więc nie mogę tam dodać include ('bla.php');.
Formularz całkowicie narażony na przejęcie passów przesyłą dane i loguje

Kod

<form action="http://jakasstrona.pl" method="post">
<input name="l" value="2602990" type="hidden">
<input name="p" value="%61%61%61%61%61%61" type="hidden">
<input name="dl.start" value="login" type="submit">
</form>

<script Language="Javascript">  
javascript:document.all['dl.start'].click()
</script>

Natomiast formularz wykorzystujący include nie loguje

Kod

<?php
include ('bla.php');
?>
<form action="http://rs275.<?=$_POST['ff']?>" method="post">
<input name="dl.start" value=wyślij type="submit">
</form>
<script Language="Javascript">
javascript:document.all['dl.start'].click()
</script>

Słyszałem, iż dane w formularzu można przesłać tak jak ja chce za pomocą curl wiec poszukam jakiegoś dobrago darmowego serwera, który obsługuje tą bibliotekę. Znacie jakieś poza ovh?

Ten post edytował dark_root 26.07.2008, 16:38:14