Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]Bezpieczne przekierowanie po zalogowaniu
Laran
post
Post #1





Grupa: Zarejestrowani
Postów: 25
Pomógł: 1
Dołączył: 20.03.2013

Ostrzeżenie: (0%)
-----

Hej.

Po zalogowaniu użytkownika chce go bezpiecznie przekierować na poprzednią stronę . Poprzez "bezpiecznie" mam na myśli że będzie to przekierowanie odporne na "majsterkowanie" innych i użytkownik zostanie przekierowany na poprzednią stronę (lub w najgorszym przypadku [jeśli ktoś zacznie "majsterkować"] użytkownik zostanie przekierowany na inną stronę, ale nadal w mojej domenie). Napisałem coś takiego:

W formularzu znajduje się to:
[HTML] pobierz, plaintext 
  1. <input type="hidden" name="location" value="<?php echo $_SERVER['HTTP_REFERER']?>" />
[HTML] pobierz, plaintext


A kod przekierowania to:
[PHP] pobierz, plaintext 
  1. if($login) {
  2. 	if($_GET['location'])  {
  3. 		$url = escape(trim($_GET['location']));
  4.   		$res = parse_url($url);
  5.  
  6. 		if($res['scheme'] === 'http' && $res['host'] === 'mojastrona.pl') {
  7. 			header('Location: '.$url);
  8.                         exit();
  9. 		} else {
  10. 			header('Location: index.php');
  11.                         exit();
  12. 		}
  13. 	} else {
  14. 		header('Location: index.php');
  15.                 exit();
  16. 	}
  17. }
[PHP] pobierz, plaintext


Funkcja escape() to:
[PHP] pobierz, plaintext 
  1. function escape($string) {
  2. 	return htmlentities($string, ENT_QUOTES, 'UTF-8');
  3. }
[PHP] pobierz, plaintext


Czy to jest bezpieczne? Zapomniałem o czymś? (IMG:style_emoticons/default/smile.gif)

Ten post edytował Laran 14.06.2014, 10:49:46
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Laran
post
Post #2





Grupa: Zarejestrowani
Postów: 25
Pomógł: 1
Dołączył: 20.03.2013

Ostrzeżenie: (0%)
-----

Pole "location" zawiera rezultat $_SERVER['HTTP_REFERER']. Jeśli ktoś został przekierowany z www.example.com na stronę logowania i się zaloguje poprawnie to zostanie przekierowany spowrotem na www.example.com (bo to był jego REFERER). Jednak gdy adres zostanie sprawdzony i link okaże się stroną zewnętrzną to przekierowany na index.php.

PS. Sorry, w przykładzie był błąd. To jest $_POST['location'], a nie $_GET['location'].
Go to the top of the page
+Quote Post

Posty w temacie
- Laran   [PHP]Bezpieczne przekierowanie po zalogowaniu   14.06.2014, 10:47:00
- - Turson   Wygląda raczej dobrze, ale wystarczy, że zapiszesz...   14.06.2014, 11:24:07
- - Damonsson   Ale co to ma wspólnego z bezpieczeństwem? Przekier...   14.06.2014, 11:50:51
|- - Laran   Cytat(Damonsson @ 14.06.2014, 12:50:5...   14.06.2014, 12:08:49
- - Damonsson   Jak będzie mógł zmienić wartość w value, to i zmie...   14.06.2014, 12:11:10
|- - Laran   Cytat(Damonsson @ 14.06.2014, 13:11:1...   14.06.2014, 12:24:23
- - Damonsson   Ok, chyba czegoś nie rozumiem. Przed czym Ty chces...   14.06.2014, 12:55:37
- - Laran   Pole "location" zawiera rezultat $_...   14.06.2014, 13:26:16
- - Damonsson   Dla mnie to i tak nie ma najmniejszego sensu. Ale ...   14.06.2014, 17:56:19
- - Laran   Cytat(Damonsson @ 14.06.2014, 18:56:1...   14.06.2014, 18:06:31

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 15.10.2025 - 15:49
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn