[PHP] głosowanie przez przekierowanie na stronę, jak zabezpieczyć Opcje

[pionas]

Witam,

mam problem.
Otóż zrobiłem głosowanie na zdjęcia za pomocą kliknięcia w przycisk, przycisk ten przekierowuje na kolejną podstronę gdzie jest weryfikowana poprawność oddania głosu.
Tzn. na stronie A, generuję kod do linku na oddanie głosu wygląda on mniej więcej tak:

[PHP] pobierz, plaintext 
$hash1 = "http://adres_strony.pl/".$_SERVER['REQUEST_URI'];
$hash1 = sha1($hash1.SALT1);
$hash2 = sha1(SALT2.$id.SALT3.$_SERVER['REMOTE_ADDR']);
 
[PHP] pobierz, plaintext 

Link do oddania głosu wygląda tak: b.php?act=vote&id=[ID]&h1=[hash1]&h2=[hash2]

Kod sprawdzający to wygląda mniej więcej tak:

[PHP] pobierz, plaintext 
//...
$ref = str_replace('www.','',$_SERVER['HTTP_REFERER']);
$hash22 = sha1($ref.SALT1);
$hash11 = sha1(SALT2.$id.SALT3.$_SERVER['REMOTE_ADDR']);
 
if ($hash22==$h2&& $hash11==$h1) {
// zalicz głos
} else {
// poinformuj o probie oszustwa...
}
[PHP] pobierz, plaintext 

Czy da się to jakoś oszukać? Jakie Wy macie próby na nieuczciwych graczy?

Dziękuję i pozdrawiam

[buliq]

post numer #2

Poza tym zdefiniuj sobie 1 salt, koduj przy pomocy md5 - nie do rozkodowania. DO linku dodaj znacznik czasowy zakodowany base64_encode i to z niego korzystaj. Ten sam znacznik czasowy może być użyty tylko raz - dodawaj go do bazy żeby 2 razy nie użyto lub sprawdzaj jak długi czas upłyną - większy jak x sek. to pewnie oszustwo. Możesz też nadawać unikalny ID dla każdego głosującego i go też wrzucić do bazy i przypisać znacznikowi. Jest wiele możliwości natomiast twoje rozwiązanie nie sprawdzi się dla każdego twojego użytkownika.

Ten post edytował buliq 3.08.2011, 11:18:14