Ominięcie działania skryptu przez odniesienie się do niego dzięki url Opcje

[plastus321]

Witam wszystkich : )

Nie wiem czy dobrze zatytułowałem mój problem ale jeśli nie to postaram się chociaż go dobrze przedstawić w tym opisie.

Sprawa wygląda tak...


Mam skrypt przykładowo o nazwie "dodaj_do_bazy_danych.php" w którym jest napisany kod który coś dodaje do mysql przy pomocy pobrania metodą $_POST['costam'] z pliku "dane_do_bazy_danych.php".


Wszystko śmiga pięknie jak ktoś uzupełni formularz itd. ale jeśli ktoś się odniesie bezpośrednio do pliku przez wpisanie linku: "http://www.mojastrona.pl/dodaj_do_bazy_danych.php" rekord zostaje dodany...

pytanie moje brzmi:

Czy da się temu zapobiec dzięki plikowi na serwerze .htaccess żeby np. ignorował ten link przez wpisanie go bezpośrednio i np. odsyłał na stronę główną bez żadnego powiadomienia oraz żeby skrypt nie zadziałał? Czy trzeba jednak otwierać wszystkie pliki które coś dodają do mysql i dodawać pewną instrukcje if która sprawdzi czy w formularzu zostały wszystike potrzebne dane do wstawienia rekordu podane?


Z góry dziękuje wszystkim za odpowiedzi ; )

[filipsiu]

Tak da się, w pliku z formularzem na samej górze dajesz

[PHP] pobierz, plaintext 
defined('IN_SITE', true);
if(!defined('IN_SITE')
die('brak uprawnień')
[PHP] pobierz, plaintext 

oraz w pliku z dadaniem do bazy

[PHP] pobierz, plaintext 
defined('IN_SITE', false);
if(!defined('IN_SITE')
die('brak uprawnień')
[PHP] pobierz, plaintext 

lub robisz to w 1 pliku z warunkiem do dodania oraz
if(isset($)POST['wyslij']))

Ten post edytował filipsiu 23.02.2013, 16:51:09

[markonix]

@up
od kiedy to stałe tak sobie po prostu przechodzą ze strony na stronę?

Słuszne rozwiązanie to sprawdzenie czy formularz został wysłany.
Robi się to za pomocą isset na dowolnym polu z formularza czy nawet na przycisku (jeśli ma name to także wysyła on wartość).
Jeżeli nie jest utworzone to wywołanie jest manualne i nie powinno powodować żadnej akcji.

[pr0woKator]

W formularzu dodaj

[HTML] pobierz, plaintext 
<input type="hidden" name="wyslany" />
[HTML] pobierz, plaintext 

w skrypcie sprawdź to za pomocą:

[PHP] pobierz, plaintext 
if(isset($_POST['wyslany'])){
// tutaj skrypt wykonuje to co chcesz
} else {
// jeżeli nie jest wysłany formularz
header ("Location: index.php");  // przekierowanie na stronę główną
}
[PHP] pobierz, plaintext 

[daniel1302]

Nie rozumie po co dodawać ukryte pola?
@markonix powiedział dobrze.

sprawdzasz sobie istniejące już pole(wysyłane)

[PHP] pobierz, plaintext 
if (isset($_POST['jakies pole']))
{
 
}
[PHP] pobierz, plaintext 

Jak dodajesz niesprawdzany rekord do bazy danych, nie chciałbym mieć u siebie na serwere takiego skryptu, SQL Injection i wgl

[plastus321]

Dzięki za rady skorzystam na pewno z tych dwóch opcji ; ) tak właśnie myślałem że z tymi isset to chyba najlepsze wyjście ale no jednak miałem jakąś nadzieję : ) ale z tym defined też spróbuję : ) jak na razie temat do zamknięcia i jeszcze raz dzięki all : )

[markonix]

Sposób z defined jest nieprawidłowy, przynajmniej w takiej formie bo faktycznie można z niego skorzystać ale gdy includujemy pliki.

Ten post edytował markonix 24.02.2013, 01:16:05