[PHP] Zabezpieczenie przed WSTECZ i ODŚWIEŻ, w formularzu... Opcje

[Kshyhoo]

Witam po raz kolejny. Chciałbym uzyskać pomoc w kwestii zabezpieczenia danych w formularzu przed przeładowaniem i przyciskiem wstecz (wiem, że nie da się zablokować całkowicie). Znalazłem na to 3 sposoby - cookie, sesje i nagłówek. Niestety, nie umiem tego połączyć z moim wielostopniowym formularzem... Pomoże ktoś mądry?

[PHP] pobierz, plaintext 
<?php
if (isset($_POST['krok']) && $_POST['krok'] == "1") {
 
// tu kontrola wypełnienia w js
 
echo "<center><form name='generator' action='".basename($_SERVER['PHP_SELF'])."' method='POST' onSubmit='return testuja(this);'>";
 
echo "<input type='hidden' name='krok' value='2'>\n";
echo "<input type='submit' name='dalej' value='Idź dalej'></form>";
 
} elseif (isset($_POST['krok']) && $_POST['krok'] == "2") {
 
echo "<center><form name='generator' action='".basename($_SERVER['PHP_SELF'])."' method='POST' onSubmit='return checkRadios(this);'>";
 
// tu kontrola wypełnienia w js
 
echo "<input type='hidden' name='krok' value='3'>";
echo "<input type='submit' name='dalej' value='Idź dalej'></form>";
 
} elseif (isset($_POST['krok']) && $_POST['krok'] == "3") {
 
echo "<center><form name='generator' action='".basename($_SERVER['PHP_SELF'])."' method='POST' onSubmit='return testujb(this);'>";
 
// tu kontrola wypełnienia w js
 
echo "<input type='hidden' name='krok' value='4'>\n";   
echo "<input type='submit' name='dalej' value='Idź dalej'></form>";
 
} else {
 
echo "<hr class='hr' /><form name='generator' action='".basename($_SERVER['PHP_SELF'])."' method='POST'>";
 
echo "<input type='hidden' name='krok' value='1'>\n";  
echo "<input type='submit' name='dalej' value='Idź dalej'></form>";
 
}
?>
[PHP] pobierz, plaintext 

Ten post edytował Kshyhoo 4.07.2009, 21:52:22

[erix]

A czemu nie korzystasz z sesji?

[Kshyhoo]

Eh, jeżeli chodzi o pojedynczy formularz, umiem to zrobić. Ten w kilku stopniach wywala mi notice i nie robi tego, co chcę.

[bemol]

a czemu nie robisz sobie na $_GET i nie lecisz switch'em? ja tak zawsze kroki robiłem. oszczędzisz nie potrzebnych hiddenów, a adres mozesz zamaskowac modrewrite

[Kshyhoo]

a czemu nie robisz sobie na $_GET i nie lecisz switch'em? ja tak zawsze kroki robiłem. oszczędzisz nie potrzebnych hiddenów, a adres mozesz zamaskowac modrewrite

A możesz jakiś przykład dać, nie jestem zaawansowany w php...

[bemol]

[PHP] pobierz, plaintext 
<?php
switch ($_GET['krok']) {
 
case 1: { // 1 - wartość tablicy $_GET['krok']
 
echo '<form action="skrypt.php?krok=2" method="post">
<input />
<input />
<input />
</form>';
 
break;}
 
case 2: { // 2 - wartość tablicy $_GET['krok']
 
...
 
break;}
 
// itd...
 
default: { // wartość domyślna
 
echo '<form action="skrypt.php?krok=1" method="post">
<input />
<input />
<input />
</form>';
 
break;}
}
?>
[PHP] pobierz, plaintext 

Więcej: http://pl.wikibooks.org/wiki/PHP/Instrukcja_switch
i
http://pl.php.net/manual/en/control-structures.switch.php

Ten post edytował bemol 5.07.2009, 11:21:19

[Kshyhoo]

Właśnie zacząłem przerabiać na switch. Na razie bez zmian. Zastosuję się do Twoich propozycji. Instrukcję switch znam dobrze, wszystkie pliki inkludowane mam na ten funkcji. Można zobaczyć efekty mojej pracy tu. Problem widoczny najbardziej w kroku 4 i 5...

EDIT: właśnie skończyłem - niestety, efekt identyczny ;(

Ten post edytował Kshyhoo 5.07.2009, 11:48:56

[bemol]

dodaj w każdym 'case' :
1.

[PHP] pobierz, plaintext 
<?php
if (!isset($_SESSION['krok']) or empty($_SESSION['krok'])) $_SESSION['krok'] = 1; //w zależności który krok jest
else $_SESSION['krok']++;
?>
[PHP] pobierz, plaintext 

2.

[PHP] pobierz, plaintext 
<?php
if ($_SESSION['krok'] > $_GET['krok'];) {
// ktos wcisnal wstecz
}
else {
// jest poprawnie
}
?>
[PHP] pobierz, plaintext 

Ten post edytował bemol 5.07.2009, 11:52:09

[Kshyhoo]

Zrobiłem tak:

[PHP] pobierz, plaintext 
<?php
case 4:{
              if (!isset($_SESSION['krok']) or empty($_SESSION['krok'])) $_SESSION['krok'] = 4;
              else $_SESSION['krok']++;
 
              echo "<center><form name='generator' action='herb1.php?krok=5' method='POST'>";
 
              if ($_SESSION['krok'] > $_GET['krok']) { // ktos wcisnal wstecz
                      include('include/krok3.php');
              }
              else { // jest poprawnie
                       include('include/krok4.php');
                }
 
              echo "<input type='hidden' name='krok' value='5'>\n";
              echo "<input type='submit' name='dalej' value='Idź dalej'></form>";
break;}
?>
[PHP] pobierz, plaintext 

Ale efekt ten sam...

[Pawel_W]

[PHP] pobierz, plaintext 
<?php
case 4:
             if (!isset($_SESSION['krok']) or empty($_SESSION['krok'])) $_SESSION['krok'] = 4;
             else $_SESSION['krok']++;
 
             echo "<center><form name='generator' action='herb1.php?krok=5' method='POST'>";
 
             if ($_SESSION['krok'] > $_GET['krok']) { // ktos wcisnal wstecz
                     include('include/krok3.php');
             }
             else { // jest poprawnie
                      include('include/krok4.php');
               }
 
             echo "<input type='hidden' name='krok' value='5'>\n";
             echo "<input type='submit' name='dalej' value='Idź dalej'></form>";
break;
?>
[PHP] pobierz, plaintext 

[Kshyhoo]

Efekt dokładnie taki sam... Problem jest w tym, że po WSTECZ, również $_GET na wartość pomniejszoną o 1...

A czemu nie korzystasz z sesji?

Jakieś szczegóły?

Ten post edytował Kshyhoo 5.07.2009, 14:28:20

[erix]

Dlaczego wszystkie dane przepychasz przez użytkownika?

Poczytaj kurs PHP o sesjach.

[Kshyhoo]

Jak dotąd nie znalazłem sposobu na efektywne zabezpieczenie się przed przyciskiem WSTECZ... Nagłówek, sesje i cookie nic nie dały, bo i tak przetwarza mi te same dane. Z ODŚWIEŻ jakoś sobie radzę...
Przewałkowałem Google, najwięcej wniósł ten temat. Znalazłem też takie coś. Może ktoś mi podpowiedzieć, jak to zastosować?



@erix, Ty mnie chyba naprawdę [cenzura] nie lubisz? Już przecież wiesz, że poznałem mechanizm sesji... ale do rozwiązania problemu, z którym się zgłosiłem sama znajomość sesji nie wystarczy. W miesiąc nie sposób poznać php (z przeprowadzką na głowie). Po za tym, chyba wybrałem odpowiedni dział? Może niech powstanie kolejny (proponuję "żłobek"), gdzie towarzystwo będzie bardziej przychylne.

[erix]

zgłosiłem sama znajomość sesji nie wystarczy

Owszem, wystarczy. Gdybyś poznał sesje, byś także poczytał o ataku zwanym CSRF i o metodach przed zabezpieczeniem przed nim. Jest tam coś takiego zwanego tokenem, jeśli będziesz dla każdego żądania generował unikalny, to będziesz miał zabezpieczenie także przed wtecz/dalej.

@erix, Ty mnie chyba naprawdę [cenzura] nie lubisz?

Nie lubię lenistwa.

[Kshyhoo]

Nie lubię lenistwa.

Kiedyś mieliśmy okazję na ten temat rozmawiać. Odpuść sobie te pieprzenie, bo lenistwa nie może mi nikt zarzucić.

Co co "coś takiego zwanego tokenem, jeśli będziesz dla każdego żądania generował unikalny", to robiłem:

[PHP] pobierz, plaintext 
<?php
<input type='hidden' name='id' value='".uniqid()."'>
?>
[PHP] pobierz, plaintext 

i:

[PHP] pobierz, plaintext 
<?php
if (isset($dalej) and $_POST["id"]==$_SESSION["id"]) {
echo "";
}
if (isset($dalej) and $_POST["id"]<>$_SESSION["id"]) {
$_SESSION["id"] = $_POST["id"];
echo $dalej;
}
?>
[PHP] pobierz, plaintext 

i ODŚWIEŻ owszem, na ale WSTECZ nie działało, bo przecież i tak był ten sam id...

Sądząc po linku, który wkleiłem wcześniej, to jest spory problem i dla profesjonalistów.

[erix]

Bo przed wygenerowaniem tokena musisz go wrzucić do sesji i potem przy załadowaniu sprawdzasz, czy już w niej jest. Jeśli nie ma - wiesz co robić.

Sądząc po linku, który wkleiłem wcześniej, to jest spory problem

Nie jest, wystarczy ruszyć głową.

Odpuść sobie te pieprzenie

Chyba Ci się pomyliły pełnione funkcje... Nie Ty tu jesteś od pouczania i ja Cię pouczam, że z takim słownictwem daleko nie zajedziesz. To nie jest Twoje podwórko.

[Kshyhoo]

Opierałem się na tym artykule,

To nie jest Twoje podwórko.

Twoje również nie. Jesteś tu tylko moderatorem a nie królem. Masz coś do powiedzenia w temacie (czyt. chcesz pomóc), zapraszam. Jeżeli nie, proszę - nie wypowiadaj się.

PS. Za niecenzuralne słowo przepraszam. Poniosło mnie - bo nie czuję się leniem.

[erix]

Opierałem się na tym artykule,

Wątpię, aby ktoś miał wykupiony abonament w tym serwisie oprócz Ciebie.

Twoje również nie. Jesteś tu tylko moderatorem a nie królem. Masz coś do powiedzenia w temacie (czyt. chcesz pomóc), zapraszam. Jeżeli nie, proszę - nie wypowiadaj się.

Moim zadaniem jest tu pilnowanie porządku. Jeśli Ci się wydaje inaczej - zawsze możesz sprawę zgłosić do administratora. Poza tym, odpowiadam w każdym poście na temat, więc w czym problem?

PS. Za niecenzuralne słowo przepraszam. Poniosło mnie - bo nie czuję się leniem.

Trzymaj nerwy na wodzy. To nie jest miejsce na "noszenie".

A co do tematu: zapomniałem jeszcze dodać o nagłówkach bez cache'owania.

[Kshyhoo]

A co do tematu: zapomniałem jeszcze dodać o nagłówkach bez cache'owania.

To pierwsza rzecz, którą zrobiłem. Na WSTECZ marna rada...

[erix]

Bo przeglądarka wczytuje stronę z pamięci. Jeśli chcesz, aby strona była naprawdę wczytywana ponownie, to stosuj tokeny i najlepiej SSL (wówczas przeglądarki inaczej traktują zawartość - tzn. nie cache'ują tak stron).