[PHP] Zabezpieczenie wejścia Opcje

[adam882]

Witam

Mam taki początek w skrypcie

[PHP] pobierz, plaintext 
$h_referer=$_SERVER['HTTP_REFERER'];
if (!preg_match("/".str_replace('/','\/',URL)."/",$h_referer)){die('Niedozwolone wejście');} 
[PHP] pobierz, plaintext 

gdzie URL to mój adres strony. Wydaje mi się, że skrypt może nie zadziałać, kiedy ktoś na końcu adresu doda sobie wartość "URL", dlatego chciałbym przerobić skrypt, aby sprawdzał, czy z lewej strony zawiera się adres URL, a nie w całym linku pod zmienną $h_referer . W jaki sposób można to zrobić?

Ten post edytował adam882 30.12.2011, 10:59:51

[nospor]

1) A jaki ktoś może mieć problem by z twojej strony ciągle wysyłać tego ajaxa? Zaden
2)

a już tym bardziej "przejechanie" tego skryptu curlem

A jaki problem ten ktoś może miec by wysłać ci to curlem, nawet jeśli to u ciebie jeste ajax? Również żaden.

To co robisz to nie są żadne zabezpieczenia.
Jak chcesz zabezpieczyć skrypte przed multigłosowaniem to zapisuj np. IP i pisz, że z tego IP już ktoś głosował i koniec. Albo udostępniaj głosowanie tylko dla zalogowanych. Wówczas jeden user bedzie mógł ttylko raz głosować na daną rzecz. Ale tego tak czy siak nie zabezpieczysz a już napewno nie w ten sposób jak ty to robisz bo to żadne zabezpieczenie.

To przeglądarka wysyła nagłówek, że żądanie idzie AJAXem a nie serwer. Skoro więc to robi przeglądarka, to równie dobrze ja ci CURLe mogę wysłać dokładnie to samo i nabijać sobie do woli.