[PHP]Bezpieczne przekierowanie po zalogowaniu

[PHP]Bezpieczne przekierowanie po zalogowaniu

Laran Zobacz profil	14.06.2014, 10:47:00 Post #1
Grupa: Zarejestrowani Postów: 25 Pomógł: 1 Dołączył: 20.03.2013 Ostrzeżenie: (0%)	Hej. Po zalogowaniu użytkownika chce go bezpiecznie przekierować na poprzednią stronę . Poprzez "bezpiecznie" mam na myśli że będzie to przekierowanie odporne na "majsterkowanie" innych i użytkownik zostanie przekierowany na poprzednią stronę (lub w najgorszym przypadku [jeśli ktoś zacznie "majsterkować"] użytkownik zostanie przekierowany na inną stronę, ale nadal w mojej domenie). Napisałem coś takiego: W formularzu znajduje się to: [HTML] pobierz, plaintext <input type="hidden" name="location" value="<?php echo $_SERVER['HTTP_REFERER']?>" /> [HTML] pobierz, plaintext A kod przekierowania to: [PHP] pobierz, plaintext if($login) { if($_GET['location']) { $url = escape(trim($_GET['location'])); $res = parse_url($url); if($res['scheme'] === 'http' && $res['host'] === 'mojastrona.pl') { header('Location: '.$url); exit(); } else { header('Location: index.php'); exit(); } } else { header('Location: index.php'); exit(); } } [PHP] pobierz, plaintext Funkcja escape() to: [PHP] pobierz, plaintext function escape($string) { return htmlentities($string, ENT_QUOTES, 'UTF-8'); } [PHP] pobierz, plaintext Czy to jest bezpieczne? Zapomniałem o czymś? (IMG:style_emoticons/default/smile.gif) Ten post edytował Laran 14.06.2014, 10:49:46

Odpowiedzi

Damonsson Zobacz profil	14.06.2014, 11:50:51 Post #2
Grupa: Zarejestrowani Postów: 2 355 Pomógł: 533 Dołączył: 15.01.2010 Skąd: Bydgoszcz Ostrzeżenie: (0%)	Ale co to ma wspólnego z bezpieczeństwem? Przekierowanie, jak przekierowanie. To na stronie na którą przekierowujesz, musisz sprawdzać czy ktoś ma uprawnienia do jej oglądania, bo jak trzymasz tam nr konta i hasło do banku, gdzie trzymasz 1.000.000.000$ to zawsze ktoś może 10 lat wpisywać różne URL i sobie zgadnąć w końcu.

Laran Zobacz profil	14.06.2014, 12:08:49 Post #3
Grupa: Zarejestrowani Postów: 25 Pomógł: 1 Dołączył: 20.03.2013 Ostrzeżenie: (0%)	Cytat(Damonsson @ 14.06.2014, 12:50:51 ) To na stronie na którą przekierowujesz, musisz sprawdzać czy ktoś ma uprawnienia do jej oglądania, bo jak trzymasz tam nr konta i hasło do banku, gdzie trzymasz 1.000.000.000$ to zawsze ktoś może 10 lat wpisywać różne URL i sobie zgadnąć w końcu. Chodzi o to by użytkownik trafiał na index.php jeśli adres podany w "location" jest linkiem zewnętrznym. Chyba, że coś pomyliłem:P Ten post edytował Laran 14.06.2014, 12:09:30

Posty w temacie

Laran [PHP]Bezpieczne przekierowanie po zalogowaniu 14.06.2014, 10:47:00

Turson Wygląda raczej dobrze, ale wystarczy, że zapiszesz... 14.06.2014, 11:24:07

Damonsson Ale co to ma wspólnego z bezpieczeństwem? Przekier... 14.06.2014, 11:50:51

Laran Cytat(Damonsson @ 14.06.2014, 12:50:5... 14.06.2014, 12:08:49

Damonsson Jak będzie mógł zmienić wartość w value, to i zmie... 14.06.2014, 12:11:10

Laran Cytat(Damonsson @ 14.06.2014, 13:11:1... 14.06.2014, 12:24:23

Damonsson Ok, chyba czegoś nie rozumiem. Przed czym Ty chces... 14.06.2014, 12:55:37

Laran Pole "location" zawiera rezultat $_... 14.06.2014, 13:26:16

Damonsson Dla mnie to i tak nie ma najmniejszego sensu. Ale ... 14.06.2014, 17:56:19

Laran Cytat(Damonsson @ 14.06.2014, 18:56:1... 14.06.2014, 18:06:31

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 11.10.2025 - 10:10

Hosting zapewnia

Forum PHP.pl