[PHP]Pomijanie informacji z GET Opcje

[skm]

Witam!
Chcę napisać stronę z formularzem, przekazującym dane przez POST do innej podstrony, która wyświetla je w tabeli i zapisuje do pliku.
Wszystko działa jak należy, jest tylko jeden problem: użytkownik modyfikując adres URL może modyfikować dane w tabeli (więc te, które będą zapisane). Przewiduję też "sprytnych" użytkowników, próbujących różnych sztuczek. Czy można jakoś zablokować odbieranie danych z URL, by skrypt pobierał tylko dane z POST? Chcę uniemożliwić kombinowanie

[peter13135]

Nie rozumiem. Jak masz zrobione wyświetlanie danych z GET'a czy POST'a to użytkownik może wysłać dane jak mu się podoba. Nic na to nie poradzisz. Możesz po prostu filtrować te dane w skrypcie PHP.
Wklej lepiej kawałek kodu i napisz po naszemu o co Ci chodzi.

[nospor]

by skrypt pobierał tylko dane z POST

Może Cię zdziwię, ale użytkownik może też wysłać dane POST.
Pamiętaj: wszystkie dane pochodzące od użytkownika (przeglądarki) są potencjalnie niebezpieczne i wszystkie te dane musisz sprawdzać/filtrować - niezależnie od tego czy to jest GET, POST, ciastko czy cokolwiek innego

Powód edycji: [nospor]:

[skm]

Ok, postaram się.


-------------a1.php------------------

<form name="formularz" method="POST" action="a2.php">
<input type="checkbox" name="zmienna" value="1" checked="checked" />
<input type="checkbox" name="zmienna" value="2" checked="checked" />
<input type="submit" value="OK"/>
</form>

Tu dane są przesyłane przez POST do pliku a2.php

-------------a2.php------------------

//I tu jest problem. Bo jak jakiś użytkownik przerobi URL np. na: "a2.php?zmienna=3", to w tabeli i w zapisie $zmienna ma wartość 3. A blokada tej możliwości zniechęciło by wielu "hakieruff" do zabawy skryptem.

Wybrana opcja:
<?php
include $zmienna;
?>

//tu jest zapis zmiennej "zmienna" do pliku

Ten post edytował skm 29.07.2011, 18:33:41

[lobopol]

A czy nie masz przypadkiem register_globals włączonych? Dodatkowo masz bezsensowny ten formularz jak chcesz albo wartość jeden lub dwa to użyj radiobuttonów. Sprawdzaj po $_POST['zmienna'] i nigdy nie rób

[PHP] pobierz, plaintext 
include $zmienna;
[PHP] pobierz, plaintext 

to jest proszenie się o guza
już prędzej

[PHP] pobierz, plaintext 
if($_POST['zmienna'] == 1){
include cos;
} elseif($_POST['zmienna'] == 2){
include cos;
}
 
[PHP] pobierz, plaintext 

[nospor]

//I tu jest problem. Bo jak jakiś użytkownik przerobi URL np. na: "a2.php?zmienna=3", to w tabeli i w zapisie $zmienna ma wartość 3. A blokada tej możliwości zniechęciło by wielu "hakieruff" do zabawy skryptem.

I dlatego ci napisałem, że nie zależnie czy to post czy get to ty masz te dane sprawdzać.

Pozatym to co napisał lobopol jest ok.

[skm]

Ja wiem, że formularz bezsensowny. Napisałem go byle jak. Chodziło o samą metodę "POST".

Niestety, nie mogę zrobić tego w sposób: if($_POST['zmienna'] == 1), ponieważ w prawdziwym programie jest zmienna z imieniem i nazwiskiem do zapisania.

[lobopol]

Dynamiczna jest czy stała? Jeżeli dynamiczna to sprawdź:
-czy nie jest pusta
-czy nie ma znaków ucieczki ../ ./ / .itp
-czy nie jest jakimś niedozwolonym plikiem
jeżeli spełnia powyższe warunki wtedy sprawdź czy w katalogu znajduje się plik (is_file) $zmienna.php i jego includuj