Zabezpieczenie formularza Opcje

[mihow]

Witam!
Mam zwykły formularz logowania wysyłany POST'em na zwykłym HTTP.
REGISTER_GLOBALS jest wyłączone. Jak zabezpieczyć taki formularz, aby nikt nie mógł go obejść?
Dodam, że po poprawnym zalogowaniu tworzone są sesje, które identyfikują zalogowanego użytkownika w systemie.

Pzdr
Michał

[yeti]

BTW referera (od razu mówię, że nie sprawdziłem, bo nie miałem jak, ale właśnie mi wpadło w oko a tyczy tematu):

How to Spoof HTTP_Referer
(or any other browser passed variable)

To see an ELEMENTARY way to spoof any referer (sic) value, you'll need telnet and a way to see the referer value that your server records (server logs always have the referer value in them).

Try the following:
(The example below assumes your homepage is index.html)

telnet www.yoursite.com 80 (press return)
GET /index.html HTTP/1.0 (press return)
Referer: http://www.hah-hah.com (press return)
(press return again)

Now, check your server logs and you'll see that "someone" from hah-hah.com grabbed your homepage.

If you are trying to "protect" a file by making sure that the referer value (or any other browser passed variable) is your own website, you can be bypassed by this simple technique. You cannot trust any browser passed variables.

no i tak to ponoc wygląda. Jak się dorwę wieczorem do serwera to przestestuję to sobie.


i jeszcze cytat z manuala:

'HTTP_REFERER'
    The address of the page (if any) which referred the user agent to the current page. This is set by the user agent. Not all user agents will set this, and some provide the ability to modify HTTP_REFERER as a feature. In short, it cannot really be trusted.

Ten post edytował yeti 25.11.2004, 13:31:26