 [PHP] Czy są narzędzia do przechwytywania i podmiany danych w $_POST? |
| [PHP] Czy są narzędzia do przechwytywania i podmiany danych w $_POST? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 401 Pomógł: 1 Dołączył: 10.03.2004 Skąd: Warszawa Ostrzeżenie: (0%) 
 |
Mam na stronie ukryte pole formularza <inpu type="hidden" name="cośtam"> w którym to polu zapisywane pewne operacje, które user wykonuje na stronie. Po kliknięciu zapisz, te dane są wysyłane do bazy. Moje pytanie: czy jest szansa na to, że ktoś jak kliknie Zapisz tak jak by zatrzymuje wykonanie POST i podmienia dane z pola name="cośtam"? Bo wydaje mi się, że ktoś u mnie tak kombinuje. Poza tym czy da się to jakoś zabezpieczyć?
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004 |
yyy, jakie narzędzia? (IMG:style_emoticons/default/smile.gif)
Przecież to kazde dziecko może zrobić. Wystarczy podmienic wartość pola hidden na dowolną. To ze go przeglądarka nie pokazuje, to nie znaczy ze nie mozna do niego się dostać. Wystarczy zmodyfikować źródło strony (np. w operze) lub pobawić się firebugiem w FireFox (IMG:style_emoticons/default/smile.gif) Już o takich bajerach jak cURL to nawet nie będę wspominał (IMG:style_emoticons/default/winksmiley.jpg) |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 172 Pomógł: 13 Dołączył: 15.11.2009 Ostrzeżenie: (0%)
|
POST od GET różni się tylko tym, że GET wysyła zawartość zmiennych w URL, a POST w headerze
|
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 401 Pomógł: 1 Dołączył: 10.03.2004 Skąd: Warszawa Ostrzeżenie: (0%)
|
Hmmm niedobrze (IMG:style_emoticons/default/sad.gif)
A jak się zabezpiecza takie rzeczy? Zapisywać do sesji dane? |
|
|
|
|
Post
#5
|
|
|
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004 |
No po stronie serwera musisz sprawdzac, czy user ma prawo wykonać daną akcję czy nie. Nawet jesli user sam sobie wpisze dowolną akcje, to gdy nie bedzie mial prawa do jej odpalenia, to mu wyswietlisz: "Spadówa" (IMG:style_emoticons/default/winksmiley.jpg)
|
|
|
|
|
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 401 Pomógł: 1 Dołączył: 10.03.2004 Skąd: Warszawa Ostrzeżenie: (0%)
|
A jak na to pole narzucę atrybut readonly, to też można będzie podmienić dane?
|
|
|
|
|
Post
#7
|
|
|
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004 |
tak. wszystko co jest w przeglądarce można bez zadnego problemu zmienic.
wszelkie zabezpieczenia mają byc po stronie serwera Bajery po stronie przeglądarki to tylko dodatek - zapamiętaj to sobie. |
|
|
|
|
Post
#8
|
|
|
Grupa: Zarejestrowani Postów: 1 933 Pomógł: 460 Dołączył: 2.04.2010 Skąd: Lublin Ostrzeżenie: (0%)
|
Powinno pomóc sprawdzenie z jakiej strony wysyłany jest formularz. Najprostsza metoda "shackowania" formularza polega na napisaniu go samemu z odpowiednimi nazwami pól i odnośnikiem action. (IMG:style_emoticons/default/smile.gif)
|
|
|
|
|
Post
#9
|
|
|
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004 |
@b4rt3kk najprostrza to jest uzycie FireBuga. Wowczas wszystko idzie z wlasciwej strony i Twoje zabezpieczenie jest nic nie warte. Ponade Twoje zabezpieczenie mozna zlamac samemu ustawiajac wlasciwy referer
|
|
|
|
 |
|
Aktualny czas: 23.08.2025 - 10:16 |
