[PHP] Zabezpieczenie przed WSTECZ i ODŚWIEŻ

[PHP] Zabezpieczenie przed WSTECZ i ODŚWIEŻ, w formularzu...

Kshyhoo Zobacz profil	4.07.2009, 20:53:00 Post #1
Grupa: Opiekunowie Postów: 3 855 Pomógł: 317 Dołączył: 4.01.2005 Skąd: że	Witam po raz kolejny. Chciałbym uzyskać pomoc w kwestii zabezpieczenia danych w formularzu przed przeładowaniem i przyciskiem wstecz (wiem, że nie da się zablokować całkowicie). Znalazłem na to 3 sposoby - cookie, sesje i nagłówek. Niestety, nie umiem tego połączyć z moim wielostopniowym formularzem... Pomoże ktoś mądry? [PHP] pobierz, plaintext <?php if (isset($_POST['krok']) && $_POST['krok'] == "1") { // tu kontrola wypełnienia w js echo "<center><form name='generator' action='".basename($_SERVER['PHP_SELF'])."' method='POST' onSubmit='return testuja(this);'>"; echo "<input type='hidden' name='krok' value='2'>\n"; echo "<input type='submit' name='dalej' value='Idź dalej'></form>"; } elseif (isset($_POST['krok']) && $_POST['krok'] == "2") { echo "<center><form name='generator' action='".basename($_SERVER['PHP_SELF'])."' method='POST' onSubmit='return checkRadios(this);'>"; // tu kontrola wypełnienia w js echo "<input type='hidden' name='krok' value='3'>"; echo "<input type='submit' name='dalej' value='Idź dalej'></form>"; } elseif (isset($_POST['krok']) && $_POST['krok'] == "3") { echo "<center><form name='generator' action='".basename($_SERVER['PHP_SELF'])."' method='POST' onSubmit='return testujb(this);'>"; // tu kontrola wypełnienia w js echo "<input type='hidden' name='krok' value='4'>\n"; echo "<input type='submit' name='dalej' value='Idź dalej'></form>"; } else { echo "<hr class='hr' /><form name='generator' action='".basename($_SERVER['PHP_SELF'])."' method='POST'>"; echo "<input type='hidden' name='krok' value='1'>\n"; echo "<input type='submit' name='dalej' value='Idź dalej'></form>"; } ?> [PHP] pobierz, plaintext Ten post edytował Kshyhoo 4.07.2009, 21:52:22

Odpowiedzi

erix Zobacz profil	6.07.2009, 21:23:48 Post #2
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	Cytat zgłosiłem sama znajomość sesji nie wystarczy Owszem, wystarczy. Gdybyś poznał sesje, byś także poczytał o ataku zwanym CSRF i o metodach przed zabezpieczeniem przed nim. Jest tam coś takiego zwanego tokenem, jeśli będziesz dla każdego żądania generował unikalny, to będziesz miał zabezpieczenie także przed wtecz/dalej. Cytat @erix, Ty mnie chyba naprawdę [cenzura] nie lubisz? Nie lubię lenistwa.

Kshyhoo Zobacz profil	6.07.2009, 21:43:36 Post #3
Grupa: Opiekunowie Postów: 3 855 Pomógł: 317 Dołączył: 4.01.2005 Skąd: że	Cytat(erix @ 6.07.2009, 22:23:48 ) Nie lubię lenistwa. Kiedyś mieliśmy okazję na ten temat rozmawiać. Odpuść sobie te pieprzenie, bo lenistwa nie może mi nikt zarzucić. Co co "coś takiego zwanego tokenem, jeśli będziesz dla każdego żądania generował unikalny", to robiłem: [PHP] pobierz, plaintext <?php <input type='hidden' name='id' value='".uniqid()."'> ?> [PHP] pobierz, plaintext i: [PHP] pobierz, plaintext <?php if (isset($dalej) and $_POST["id"]==$_SESSION["id"]) { echo ""; } if (isset($dalej) and $_POST["id"]<>$_SESSION["id"]) { $_SESSION["id"] = $_POST["id"]; echo $dalej; } ?> [PHP] pobierz, plaintext i ODŚWIEŻ owszem, na ale WSTECZ nie działało, bo przecież i tak był ten sam id... Sądząc po linku, który wkleiłem wcześniej, to jest spory problem i dla profesjonalistów.

Posty w temacie

Kshyhoo [PHP] Zabezpieczenie przed WSTECZ i ODŚWIEŻ 4.07.2009, 20:53:00

erix A czemu nie korzystasz z sesji? 4.07.2009, 21:33:57

Kshyhoo Eh, jeżeli chodzi o pojedynczy formularz, umiem to... 4.07.2009, 21:39:11

bemol a czemu nie robisz sobie na $_GET i nie lecis... 5.07.2009, 09:38:19

Kshyhoo Cytat(bemol @ 5.07.2009, 10:38:19 ) a... 5.07.2009, 10:00:26

bemol [PHP] pobierz, plaintext <?phpswitch ($_GET... 5.07.2009, 11:19:43

Kshyhoo Właśnie zacząłem przerabiać na switch. Na razie be... 5.07.2009, 11:30:36

bemol dodaj w każdym 'case' : 1. [PHP] pobi... 5.07.2009, 11:51:20

Kshyhoo Zrobiłem tak: [PHP] pobierz, plaintext <?phpcas... 5.07.2009, 12:12:21

Pawel_W [PHP] pobierz, plaintext <?phpcase 4: ... 5.07.2009, 12:53:43

Kshyhoo Efekt dokładnie taki sam... Problem jest w tym, że... 6.07.2009, 19:47:40

erix Dlaczego wszystkie dane przepychasz przez użytkown... 6.07.2009, 19:57:51

Kshyhoo Jak dotąd nie znalazłem sposobu na efektywne zabez... 6.07.2009, 21:12:40

erix Cytatzgłosiłem sama znajomość sesji nie wystarczy ... 6.07.2009, 21:23:48

Kshyhoo Cytat(erix @ 6.07.2009, 22:23:48 ) Ni... 6.07.2009, 21:43:36

erix Bo przed wygenerowaniem tokena musisz go wrzucić d... 6.07.2009, 21:52:35

Kshyhoo Opierałem się na tym artykule, Cytat(erix ... 6.07.2009, 22:01:48

erix CytatOpierałem się na tym artykule, Wątpię, aby kt... 6.07.2009, 22:15:04

Kshyhoo Cytat(erix @ 6.07.2009, 23:15:04 ) A ... 6.07.2009, 22:21:09

erix Bo przeglądarka wczytuje stronę z pamięci. Jeśli c... 7.07.2009, 22:18:48

« Następny starszy · Przedszkole · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl