Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> [PHP][MYSQL][AJAX] Bezpieczeństwo sklepu
Mlodycompany
post
Post #1





Grupa: Zarejestrowani
Postów: 910
Pomógł: 44
Dołączył: 20.02.2008
Skąd: Łódź

Ostrzeżenie: (20%)
X----

Witam. Robię sklep internetowy a w nim mam dodawanie do koszyka. Odbywa się to za pomocą AJAXa(kod: 
[HTML] pobierz, plaintext 
  1. <script type="text/javascript">
  2. function getXMLHttpRequestObject(){
  3. try{
  4. return new XMLHttpRequest();
  5. }
  6. catch(e){
  7. try{
  8. return new ActiveXObject("Microsoft.XMLHTTP");
  9. }
  10. catch(e){
  11. return false;
  12. }
  13. }
  14. }
  15. function buy(){
  16. var XMLHttpRequestObject = getXMLHttpRequestObject();
  17. if(XMLHttpRequestObject){
  18. var th = document.getElementById("idbuy");
  19. var url = "http://194.63.135.234/~sklep/buy.php?id=1";
  20.  
  21. XMLHttpRequestObject.open("GET", url);
  22. XMLHttpRequestObject.onreadystatechange = function(){
  23. if(XMLHttpRequestObject.readyState == 4 && XMLHttpRequestObject.status == 200){
  24. th.innerHTML = XMLHttpRequestObject.responseText;
  25. delete XMLHttpRequestObject;
  26. XMLHttpRequestObject = false
  27. }
  28. }
  29. XMLHttpRequestObject.send(null)
  30. }
  31. }
  32.  
  33. </script>
[HTML] pobierz, plaintext
)
czyli ktoś klika na dodaj do koszyka i w komórkę idbuy jest wczytywana strona buy.php?id=1(kod: 
[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3. include('config.php');
  4. $zapyt = query('koszyk', &#092;"`id_produktu` = '\".$_GET['id'].\"'\");
  5. $ilosc = mnr($zapyt);
  6. $row = mfa($zapyt);
  7. //print_r($row);
  8.  
  9. if($_SESSION['zalogowany']){
  10. 	if($ilosc == 1){
  11. 		$alert = '<font color=\"red\">'.RESERVED.'';
  12. 	}
  13. 	else{
  14. 		$dodaj = mysql_query(&#092;"INSERT INTO `koszyk` ( `ID` , `id_usera` , `id_produktu` , `data` , `ip` , `status`) VALUES(
  15. 		'',
  16. 		'\".$_SESSION['ID'].\"',
  17. 		'\".$_GET['id'].\"',
  18. 		'\".date(\"Y.m.d H:i\").\"',
  19. 		'\".$_SERVER['REMOTE_ADDR'].\"',
  20. 		'0'
  21. 		)&#092;");
  22. 		if($dodaj){
  23. 			$alert = '<font color=\"green\">'.ADDED_TO_BASKET.'';
  24. 		}
  25. 		else{
  26. 			$alert = '<font color=\"red\">'.ERR_ADDED_TO_BASKET.'';
  27. 		}
  28.  
  29. 	}
  30.  
  31. }
  32. echo($alert);
  33. ?>
[PHP] pobierz, plaintext
)

Mój problem polega na tym, że ktoś widzi jaka strona jest wczytywana i może bezpośrednio wejść na nią, a jak wejdzie to odrazu doda się do koszyka. Chcę to zabezpieczyć, że dodać tylko można ze strony produktu. Próbowałem przez $_SERVER['PHP_SELF']; ale to ma wartość buy.php. Czy ktoś ma jakiś pomysł questionmark.gif </font color=\"red\"></font color=\"green\"></font color=\"red\">

Ten post edytował Mlodycompany 19.07.2008, 09:26:01
Go to the top of the page
+Quote Post
« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 21.08.2025 - 11:05
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn