[php] gdzie umieścić skrypty? Opcje

[przemo78]

Witam

Jestem tu nowy ale mam małe pytanko tj. jak w tytule. Załóżmy że mamy plik index.html w którym jest formularz oraz w tym samym katalogu jest skrypt zapisz.php który zapisuje dane z formularza do bazy. Po wywołaniu http://127.0.0.1 ( na localu) pokaże się index.html i formularz. Następnie pod przyciskiem jest akcja która wywołuje ten skrypt. (wcześniej jeszcze walidacja danych JS). Tylko że w polu adresu przeglądarki pojawia się http://127.0.0.1/wpisz.php

Generalnie uważam że coś jest nie tak. Bo równie dobrze można wpisać http://127.0.0.1/wpisz.php i ile się chce wykonać ten skrypt. Jak zrobić żeby w polu adresu nie pokazywała się nazwa pliku skryptu??

[revyag]

No to w pliku wpisz.php na początku sprawdzaj czy zmienne z formularza ustawione, jak nie to przekierwanie na formularz.

---
prznoszę
php->przedszkole

[Wykrywacz]

Generalnie uważam że coś jest nie tak. Bo równie dobrze można wpisać http://127.0.0.1/wpisz.php i ile się chce wykonać ten skrypt. Jak zrobić żeby w polu adresu nie pokazywała się nazwa pliku skryptu??

Wydaje mi się, że włanczając maskowanie na serverze dns.
A żeby nie przechodził na następną stronę.
Napisz to wszystko w jednej stronie. najpierw formularz potem skrypt
jak się to robi żeby wykonywało wszystko w tym samym oknie szukaj TAM.
Albo użyj manuala bądz opcji szukaj

[Vogel]

no to co ze bedzie znal nazwe pliku? uzyj sesji i generuj tokeny ktore dolaczysz do wysylanego formularza. brak tokena, lub niewlasciwy token - akcja zostaje zatrzymana.
poprawny token - wykonujemy akcje i kasujemy token.
proste


np.

formularz.php:

[PHP] pobierz, plaintext 
<?php
 
session_start();
$_SESSION['token'] = rand(1,100000);
echo '<form action="przetwarzacz.php"> ... <input type="hidden" name="token" value="'.$_SESSION['token'].'"> ... </form>';
 
?>
[PHP] pobierz, plaintext 

przetwarzacz.php:

[PHP] pobierz, plaintext 
<?php
 
session_start();
if (isset($_POST['token']) && $_POST['token']==$_SESSION['token']) {
echo 'gotowe. wszystko ok.';
unset($_SESSION['token']);
}
else {
unset($_SESSION['token']);
header('Location: formularz.php');
}
 
?>
[PHP] pobierz, plaintext 

[przemo78]

no niby działa z tym tokenem.... ale według mnie nie do końca :-( jak wysyłam formularz uruchamioa się skrypt wpisz.php i krótkie info wygenerowane przez niego typu... dane ok. ale kiedy koleś naciśnie F5 (odśwież) to dane wpisują się do bazy raz jeszcze i tak w kółko mogę F5 wciskać. Kiedy wywołam skrypt bez wypełnienia formularza to faktycznie token zadziała, ale jak się zabezpieczyć przed odświeżąniem strony??

[Vogel]

eee? pisalem z lapki i bez testowania, ale to musi byc odporne na odswiezanie.

[PHP] pobierz, plaintext 
<?php
unset($_SESSION['token']);
?>
[PHP] pobierz, plaintext 

usuwa zmienna sesyjna i odswiezanie nic a nic nie pomoze. bo warunek if() bedzie falszywy...

ew. zmien warunek na:

[PHP] pobierz, plaintext 
<?php
if (isset($_POST['token']) && isset($_SESSION['token']) && $_POST['token']==$_SESSION['token'])
?>
[PHP] pobierz, plaintext 

[przemo78]

To jest formularz............

[PHP] pobierz, plaintext 
<?php
session_start();
?>	
<html>
<head>
<link rel="stylesheet" type="text/css" href="style.css" /> 
<script Language="JavaScript" >
function waliduj(t)
{
var temp = t.imie.value;
if (temp == '')
{
alert('Brak danych');
return false;
}
 
}
</script>
 
</head>
 
<Body class="p"> 
<?php
$_SESSION['token'] = rand(1,1000);
echo '<form name="form1" method = "post" id="form1" action = "lacz.php" onSubmit="return waliduj(this);" >
imie<input TYPE="text" name="imie"><br><td>nazwisko<input TYPE="text" name="nazwisko"><input TYPE="Submit" Value="Ustaw"">';
echo '<input type="hidden" name="token" value="'.$_SESSION['token'].'"> </form>';
?>
</Body>
</html>
[PHP] pobierz, plaintext 

a to skrypt.....

[PHP] pobierz, plaintext 
 
<?php
session_start();
 
if (isset($_POST['token']) && isset($_SESSION['token']) && $_POST['token']==$_SESSION['token']) 
{
	mssql_connect ("LAPTOP", "xx", "xx") or
        die ("Nie można poł&plusmn;czyć się z MySQL");
      mssql_select_db ("Oracle") or 
        die ("Nie można poł&plusmn;czyć się z baz&plusmn; ");
 
if ($_POST['imie']!='')
{
$imie = $_POST['imie'];
$query= "INSERT INTO kontakt (imie,nazwisko) values('$imie','$nazwisko');";
$wynik=mssql_query($query);
echo 'OK';
print $_SESSION['token'];
unset($_SESSION['token']);
unset ($_POST['token']);
}
else
{
echo 'Brak danych';
}
}
if (!isset($_POST['token']) || $_POST['token']!=$_SESSION['token'])
{
unset($_SESSION['token']);
unset ($_POST['token']);
}
?>
[PHP] pobierz, plaintext 

poprawiam
---
nospor

i po wysłaniu formularza pojawia się OK i wtedy poprzez F5 po raz kolejny zapisuje dane do tabeli :-(

[Vogel]

eee... skopiowalem twoje skrypty i odpalilem bonie chcialemwierzyc. no i widze ze wszystko dziala tak jak trzeba...

[przemo78]

u mnie już też działa... :-) wywaliłem tylko

[PHP] pobierz, plaintext 
<?php
 
isset($_POST['token']) z pierwszego warunku i biega
 
?>
[PHP] pobierz, plaintext 

w każdym razie dopasowałem i działa

a i jeszcze jedna sprawa... według mnie trzeba dopisać w warunku

[PHP] pobierz, plaintext 
<?php
 
if (isset($_POST['token']) && $_POST['token']==$_SESSION['token'])
 
?>
[PHP] pobierz, plaintext 

żeby po wykonaniu zapytania poleciał do jakiejś strony np.

[PHP] pobierz, plaintext 
<?php
 
header('Location: formularz.php')
 
?>
[PHP] pobierz, plaintext 

bo inaczej nie jest odporny na F5

pozdrawiam

Ten post edytował przemo78 16.03.2006, 15:02:31