![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 278 Pomógł: 35 Dołączył: 25.06.2010 Ostrzeżenie: (0%) ![]() ![]() |
Przekopałem trochę forum, ale nie znalazłem tego czego dokładnie szukałem...
Takie tylko linki... http://forum.php.pl/index.php?showtopic=35422 http://forum.php.pl/index.php?showtopic=18535 Chodzi mi o to na ile można ufać zmiennej $_SERVER['HTTP_REFERER']. Wykorzystuję ową zmienną, aby zabezpieczyć formularz logowania. Logowanie odbywa się dopiero gdy login i hasło zostało przesłane z określonej strony. Tylko wszędzie czytam że http_referer nie jest godzien zaufania (IMG:style_emoticons/default/dry.gif) Jak to jest? Czy można jakoś (i w jaki sposób ) zmienić jego wartość i podszyć się pod stronę z której się logujemy? Ten post edytował gargamel 3.11.2010, 13:39:41 |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 278 Pomógł: 35 Dołączył: 25.06.2010 Ostrzeżenie: (0%) ![]() ![]() |
No ok.
Tylko hmm... wyprowadźcie mnie z błędu, bo pewnie czegoś do końca nie łapie. Mam powiedzmy 2 pliki: index.php - z formularzem, logowanie.php - skrypt sprawdzający przesłane dane i zapisujący do sesji to co trzeba. Plik index.php tworzy token i zapisuje do w sesji. Ponadto ten sam token ląduje w ukrytym polu formularza. Login hasło i token lecą do logowanie.php i tam jeśli przesłany token zgadza się z tym z sesji, następuje dalsza procedura logowania. Tak to widzę, ale pewnie źle, bo: Ktoś otwiera sobie index.php, zagląda w źródło i w ukrytym polu ma token jak na dłoni. W sesji jest on już ustawiony, więc można go wysłać razem z loginem i hasłem do logowanie.php skąd tylko chcemy... |
|
|
![]() ![]() |
![]() |
Aktualny czas: 11.10.2025 - 17:35 |