[php] Problem z tokenem Opcje

[Bojakki]

Znalazlem w necie takiego tokena:

[PHP] pobierz, plaintext 
<?php
// Nadaje nazwe sesji i ja startuje.
session_name("sess");
session_start();
 
// dodatkowe naglowki, by nie buforowac wyniku
header ("Expires: Mon, 22 Sep 1997 09:00:00 GMT");
header ("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
header ("Cache-Control: no-store, no-cache, must-revalidate");
header ("Cache-Control: post-check=0, pre-check=0", false);
header ("Pragma: no-cache");
 
// tworzę obrazek o okrelonych wymiarach
$grafix =  imagecreate(88, 31);
 
// Losowanie kolorow dla tla i napisu
mt_srand(time()*123456789);
 
//kolor tekstu
$white  = imagecolorallocate($grafix, 255, 255, 255);
$black  = imagecolorallocate($grafix, 0, 0, 0);
// maluję tło
// otwieram obrazek typu PNG
$grafixBackground = @imagecreatefromjpeg("token.jpg");
// kopiuje cala zawartosc na $grafix
imagecopy($grafix, $grafixBackground, 0, 0, 0, 0, 88, 31);
// Losowanie slowa
 
$sAllowedChars = 'abcdefghijklmnopqrstuvwxyz';
$sAllowedChars .= '0123456789';
 
$sAllowedChars = str_shuffle( $sAllowedChars );
$sPassword = substr( $sAllowedChars, 0, 6 );
//definiuje zbior czcionek i wybieram losowo jedna
$font	 = "verdana.ttf";
imagettftext($grafix, 12, 0, 15, 20, $black, $font, $sPassword);
 
//zanieczyszam obrazek niewielkimi liniami
for($i=1;$i<13;$i++){
		$randPixSpaceLeft = mt_rand(10, 88);
		$randPixSpaceTop  = mt_rand(0, 31);
		imageline($grafix, $randPixSpaceLeft, $randPixSpaceTop, $randPixSpaceLeft+10, $randPixSpaceTop+7, $white);
}
 
// przekazuje przez sesje wylosowane slowo
$_SESSION["choosenWord"] = $sPassword;
 
// wysyłam odpowiedni nagłówek a następnie obrazek do przeglšdarki
header("Content-type: image/jpeg");
 
imagejpeg($grafix);
 
// sprzštam po sobie
imagedestroy($grafix);
?>
[PHP] pobierz, plaintext 

Wszystko dziala ok (obrazek sie generuje i wyswietla) gdy kod jest sam an stronie. Gdy wrzucilem kod w formularz to zamiast strony wyswietla sie tylko i wylacznie adres strony na ktorej jestem. Wie ktos gdzie lezy problem?

Z gory dziekuje za pomoc

[l0ud]

Ty go umieściłeś pomiędzy swój kod php? Tak się nie da, musisz zapisać go najlepiej w oddzielnym pliku i dołączyć go do formularza poprzez zastosowanie znacznika img, np.

<img src='token.php' alt=''>

gdzie token.php to ten skrypt

[qqrq]

No ale jak "wrzuciłeś kod do formularza"? Musisz ten plik, który ci generuje token potraktować jak obrazek, wrzucić adres do niego do taga IMG. Potem (po zatwierdzeniu formularza) porównujesz zmienną sesji, która trzyma ci token z tym, co użytkownik wpisał w pole.

[Bojakki]

rzeczywiscie trzeba zrobic tak jak pisales. Obrazek juz sie pojawia, ale formularz nie bardzo dziala.
Wyglada on tak. Formularz jest przyjmowany gdy nie wpisze nic w pole token czyli tak jakby $_SESSION['choosenWord'] nie bralo zmiennej z obrazka. Nie wiem czy ten formularz jest w ogole dobrze zbudowany:/

[PHP] pobierz, plaintext 
<?php
if(isset($_REQUEST['submit']))
{
	$s = 0;
	$username = 'gość-'.mysql_real_escape_string(strip_tags($_POST[guestname]));
	$comment = mysql_real_escape_string(strip_tags($_POST[comment]));
	$stringl = strlen($comment);
	$stringl2 = strlen($username);
	if ($_SESSION['choosenWord'] !=  $_POST['token'])
	{
		$z.="<li>Źle przepisałeś znaki z obrazka</li>";
		$s++;
	}
	if ($stringl < 6)
	{
		$z.="<li>Zbyt krótka wiadomość</li>";
		$s++;
	}
	if ($stringl2 == 0)
	{
		$z.="<li>Nie uzupełniłeś pola Autor</li>";
		$s++;
	}
 
	if ($s==0)
	{
		$success=1;
	}
	else
	{
		$success=-1;
	}
 
	$myquery = mysql_query("INSERT INTO a_post (parentid, username, userid, dateline, pagetext, allowsmilie, ipaddress, ico
nid, visible)
	VALUES ('{$parentid}','{$username}','{$userid}','{$lastpost}','{$comment}', 1, '{$ip}', '{$iconid}', 1)") or die(mysql_error());
	$lastpostid = mysql_insert_id($mysql);
}
 
if($success==1)
{
	echo '<li>Wiadomość została dodana</li>';
	echo '<center><a href="news.php?wsk='.$wsk.'">Zobacz</a></center>';
}
elseif($success==-1)
{
	echo $z;
	echo '<center><a href="news.php?wsk='.$wsk.'">Spróbuj jeszcze raz</a></center>';
}
else
{
	echo '
	<form method=POST action="'.$typen.'.php?wsk='.$wsk.'">
	Autor: <input type="text" size="33" name="guestname"/><br />
	Obrazek: <input type="text" size="23" name="token"/><br />
	<img src='token.php' alt='token'>
	Treść:<br /><textarea name="comment" rows="6" cols="70" type="text" value size="1000" maxlength="1000"></textarea><br />
	<input type="submit" name="submit" value="ZatwierdĽ" />
	</form>';
}
?>
[PHP] pobierz, plaintext 

[l0ud]

A zainicjowałeś sesję i nazwałeś ją tak samo jak jest to w skrypcie tokena?

[Bojakki]

No wlasnie o sesji zapomnialem. Teraz jest juz picus glancus;)

[l0ud]

Dodaj jeszcze tylko sprawdzanie, czy kod tokena nie jest pusty - inaczej bardzo łatwo obejść taki token (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)