zabezpieczenie pliku php przed działaniem z zewn Opcje

[awariat]

witam mam taki kodzik

[PHP] pobierz, plaintext 
<?php
 
$PHP_user  = $_POST['save_user'];//dane z flasha
$PHP_pass  = $_POST['save_pass'];
 
$sha1_user = sha1($PHP_user);
$sha1_pass = sha1($PHP_pass);
 
$dane= "<?php \n 
    \$sha1_user=\"$sha1_user\";\n 
    \$sha1_pass=\"$sha1_pass\";\n 
    ?>";
//tworze plik php z hasłem i uzytkownikiem:
[PHP] pobierz, plaintext 

pobieram se dane z flasza i zapisuje hasło i usera do pliku php jednak teraz moge to zrobic nawet z kompa swojego
jak to zabezpieczyc i ograniczyc do tego samego katalogu
informacje wypływaja z pliku admin.swf zawartego w index.html

[darko]

.htaccess

[krowal]

Sprawdzaj na samym początku co masz w zmiennej $_SERVER['HTTP_REFERER'] - jeśli Twoja domena to jest ok, jeśli nie to odrzucasz.

[awariat]

deny from all
allow from 123.456.789.000
TAKI ZROBIŁEM plik.htaccess tylko ze zamiast numeru potrzebujeadres aktualnej domeny(to jest cms taki mały)

allow fron "moja domena"-np

to samo sie dotyczy jak sprawdzic aktualna $_SERVER['HTTP_REFERER']


to znaczy jak w obu przytpadkach odczytacdomene uzytkownika cmsa i wpisac do .htaccess orac porownac z $_SERVER['HTTP_REFERER']

sory ale zauwazyłem ze mam problemy z pełna edycja nie pokazuje sie karetka i pisze mi cąły czas od poczatku gdzy chce edytowac macie to samo czy tylko ja

Ten post edytował awariat 28.02.2010, 14:00:24

[TNT]

Sprawdzaj na samym początku co masz w zmiennej $_SERVER['HTTP_REFERER'] - jeśli Twoja domena to jest ok, jeśli nie to odrzucasz.

$_SERVER['HTTP_REFERER'] jest bez sesnu, bo można to łatwo obejść:

[PHP] pobierz, plaintext 
$domena = 'domena.pl';
$hdrs = array( 'http' => array(
 
    'header'=> "accept-language: en\r\n" . 
 
        "Host: \r\n" .
 
        "Referer: http://$domena\r\n" .
 
        "Content-Type: multipart/form-data\r\n" .
 
        "Content-Length: 33\r\n\r\n" .
 
    )
 
);
$context = stream_context_create($hdrs);
$file = file_get_contents('http://domena.pl/niedostepny_plik.php', false, $context);
[PHP] pobierz, plaintext 

[awariat]

dzieki za odpowiedz ale ze jako nie wiem na jakiej domenie bedzie moj katalog bo to mały cms wiec pytanie było

$domena= tu co wpisac by odczytac aktualna domene na ktorej jest moj katalog

wtedy bym se zrobił

if ($domena){

i tu moj kod

}

nie jest to prostsze? tylko nie wiem czy bezpieczniejsze?
php nie jest moja mocna strona grzebie sobie w as ale niestety (stety bo tez to jednak lubie) musze cos pogrzebac w php itp

Ten post edytował awariat 28.02.2010, 17:54:01

[peku33]

Możesz jeszcze odpalić php jako cgi w bashu.

Po prostu napisz php nazwa_skrptu. Umieść go w niepublicznym katalogu i gitara

[awariat]

"Możesz jeszcze odpalić php jako cgi w bashu."- chodzi o to ze klienci kopiuja se pliki na serwer i nic juz nie kombuinuja (jak cms - w sumie to jest cms)

mam pliki

index.html
index.swf- ktory jest w index.html
savepass.php
param.php

z flasza ma biec informacja postem do savephp ktory zaopisuje w param.php i save.php ma reagowac tylko na dane z flasza w tym katalogu a nie z zewn!!!
to jest takie trudne by sie działo wszystko w obrebie katalogu?

probuje poustawiac chmody i działaja ale wtedy nie mam dostepu publicznego do flasha- moze zle ustawiam te chmody

poza tym jakbyscie powiedzieli mi jak odczytac w php domene w jakiej znajduje sie ten plik php to bym mogł wykorzystac wasz pomysł powyzszy z porownaniem zmiennych

we flaszu mozna odczytac domene w jakiej flasz sie znajduje wiec czemu nie w php . Nie moge wykorzystac tej z flasza bo kazdy moze przypisac se ta zmienna i wysłac z innego flasza (np ja z mojego kompa)