Witam po raz kolejny. Chciałbym uzyskać pomoc w kwestii zabezpieczenia danych w formularzu przed przeładowaniem i przyciskiem wstecz (wiem, że nie da się zablokować całkowicie). Znalazłem na to 3 sposoby - cookie, sesje i nagłówek. Niestety, nie umiem tego połączyć z moim wielostopniowym formularzem... Pomoże ktoś mądry?

[PHP] pobierz, plaintext 
<?php
if (isset($_POST['krok']) && $_POST['krok'] == "1") {
 
// tu kontrola wypełnienia w js
 
echo "<center><form name='generator' action='".basename($_SERVER['PHP_SELF'])."' method='POST' onSubmit='return testuja(this);'>";
 
echo "<input type='hidden' name='krok' value='2'>\n";
echo "<input type='submit' name='dalej' value='Idź dalej'></form>";
 
} elseif (isset($_POST['krok']) && $_POST['krok'] == "2") {
 
echo "<center><form name='generator' action='".basename($_SERVER['PHP_SELF'])."' method='POST' onSubmit='return checkRadios(this);'>";
 
// tu kontrola wypełnienia w js
 
echo "<input type='hidden' name='krok' value='3'>";
echo "<input type='submit' name='dalej' value='Idź dalej'></form>";
 
} elseif (isset($_POST['krok']) && $_POST['krok'] == "3") {
 
echo "<center><form name='generator' action='".basename($_SERVER['PHP_SELF'])."' method='POST' onSubmit='return testujb(this);'>";
 
// tu kontrola wypełnienia w js
 
echo "<input type='hidden' name='krok' value='4'>\n";   
echo "<input type='submit' name='dalej' value='Idź dalej'></form>";
 
} else {
 
echo "<hr class='hr' /><form name='generator' action='".basename($_SERVER['PHP_SELF'])."' method='POST'>";
 
echo "<input type='hidden' name='krok' value='1'>\n";  
echo "<input type='submit' name='dalej' value='Idź dalej'></form>";
 
}
?>
[PHP] pobierz, plaintext 

A czemu nie korzystasz z sesji?

Eh, jeżeli chodzi o pojedynczy formularz, umiem to zrobić. Ten w kilku stopniach wywala mi notice i nie robi tego, co chcę.

a czemu nie robisz sobie na $_GET i nie lecisz switch'em? ja tak zawsze kroki robiłem. oszczędzisz nie potrzebnych hiddenów, a adres mozesz zamaskowac modrewrite

A możesz jakiś przykład dać, nie jestem zaawansowany w php...

[PHP] pobierz, plaintext 
<?php
switch ($_GET['krok']) {
 
case 1: { // 1 - wartość tablicy $_GET['krok']
 
echo '<form action="skrypt.php?krok=2" method="post">
<input />
<input />
<input />
</form>';
 
break;}
 
case 2: { // 2 - wartość tablicy $_GET['krok']
 
...
 
break;}
 
// itd...
 
default: { // wartość domyślna
 
echo '<form action="skrypt.php?krok=1" method="post">
<input />
<input />
<input />
</form>';
 
break;}
}
?>
[PHP] pobierz, plaintext 

Więcej: http://pl.wikibooks.org/wiki/PHP/Instrukcja_switch
i
http://pl.php.net/manual/en/control-structures.switch.php

Właśnie zacząłem przerabiać na switch. Na razie bez zmian. Zastosuję się do Twoich propozycji. Instrukcję switch znam dobrze, wszystkie pliki inkludowane mam na ten funkcji. Można zobaczyć efekty mojej pracy tu. Problem widoczny najbardziej w kroku 4 i 5...

EDIT: właśnie skończyłem - niestety, efekt identyczny ;(

dodaj w każdym 'case' :
1.

[PHP] pobierz, plaintext 
<?php
if (!isset($_SESSION['krok']) or empty($_SESSION['krok'])) $_SESSION['krok'] = 1; //w zależności który krok jest
else $_SESSION['krok']++;
?>
[PHP] pobierz, plaintext 

2.

[PHP] pobierz, plaintext 
<?php
if ($_SESSION['krok'] > $_GET['krok'];) {
// ktos wcisnal wstecz
}
else {
// jest poprawnie
}
?>
[PHP] pobierz, plaintext 

Zrobiłem tak:

[PHP] pobierz, plaintext 
<?php
case 4:{
              if (!isset($_SESSION['krok']) or empty($_SESSION['krok'])) $_SESSION['krok'] = 4;
              else $_SESSION['krok']++;
 
              echo "<center><form name='generator' action='herb1.php?krok=5' method='POST'>";
 
              if ($_SESSION['krok'] > $_GET['krok']) { // ktos wcisnal wstecz
                      include('include/krok3.php');
              }
              else { // jest poprawnie
                       include('include/krok4.php');
                }
 
              echo "<input type='hidden' name='krok' value='5'>\n";
              echo "<input type='submit' name='dalej' value='Idź dalej'></form>";
break;}
?>
[PHP] pobierz, plaintext 

Ale efekt ten sam...

[PHP] pobierz, plaintext 
<?php
case 4:
             if (!isset($_SESSION['krok']) or empty($_SESSION['krok'])) $_SESSION['krok'] = 4;
             else $_SESSION['krok']++;
 
             echo "<center><form name='generator' action='herb1.php?krok=5' method='POST'>";
 
             if ($_SESSION['krok'] > $_GET['krok']) { // ktos wcisnal wstecz
                     include('include/krok3.php');
             }
             else { // jest poprawnie
                      include('include/krok4.php');
               }
 
             echo "<input type='hidden' name='krok' value='5'>\n";
             echo "<input type='submit' name='dalej' value='Idź dalej'></form>";
break;
?>
[PHP] pobierz, plaintext 

Efekt dokładnie taki sam... Problem jest w tym, że po WSTECZ, również $_GET na wartość pomniejszoną o 1...


Jakieś szczegóły?

Dlaczego wszystkie dane przepychasz przez użytkownika?

Poczytaj kurs PHP o sesjach.

Jak dotąd nie znalazłem sposobu na efektywne zabezpieczenie się przed przyciskiem WSTECZ... Nagłówek, sesje i cookie nic nie dały, bo i tak przetwarza mi te same dane. Z ODŚWIEŻ jakoś sobie radzę...
Przewałkowałem Google, najwięcej wniósł ten temat. Znalazłem też takie coś. Może ktoś mi podpowiedzieć, jak to zastosować?



@erix, Ty mnie chyba naprawdę [cenzura] nie lubisz? Już przecież wiesz, że poznałem mechanizm sesji... ale do rozwiązania problemu, z którym się zgłosiłem sama znajomość sesji nie wystarczy. W miesiąc nie sposób poznać php (z przeprowadzką na głowie). Po za tym, chyba wybrałem odpowiedni dział? Może niech powstanie kolejny (proponuję "żłobek"), gdzie towarzystwo będzie bardziej przychylne.

Owszem, wystarczy. Gdybyś poznał sesje, byś także poczytał o ataku zwanym CSRF i o metodach przed zabezpieczeniem przed nim. Jest tam coś takiego zwanego tokenem, jeśli będziesz dla każdego żądania generował unikalny, to będziesz miał zabezpieczenie także przed wtecz/dalej.


Nie lubię lenistwa.

Kiedyś mieliśmy okazję na ten temat rozmawiać. Odpuść sobie te pieprzenie, bo lenistwa nie może mi nikt zarzucić.

Co co "coś takiego zwanego tokenem, jeśli będziesz dla każdego żądania generował unikalny", to robiłem:

[PHP] pobierz, plaintext 
<?php
<input type='hidden' name='id' value='".uniqid()."'>
?>
[PHP] pobierz, plaintext 

i:

[PHP] pobierz, plaintext 
<?php
if (isset($dalej) and $_POST["id"]==$_SESSION["id"]) {
echo "";
}
if (isset($dalej) and $_POST["id"]<>$_SESSION["id"]) {
$_SESSION["id"] = $_POST["id"];
echo $dalej;
}
?>
[PHP] pobierz, plaintext 

i ODŚWIEŻ owszem, na ale WSTECZ nie działało, bo przecież i tak był ten sam id...

Sądząc po linku, który wkleiłem wcześniej, to jest spory problem i dla profesjonalistów.

Bo przed wygenerowaniem tokena musisz go wrzucić do sesji i potem przy załadowaniu sprawdzasz, czy już w niej jest. Jeśli nie ma - wiesz co robić.


Nie jest, wystarczy ruszyć głową.


Chyba Ci się pomyliły pełnione funkcje... Nie Ty tu jesteś od pouczania i ja Cię pouczam, że z takim słownictwem daleko nie zajedziesz. To nie jest Twoje podwórko.

Opierałem się na tym artykule,


Twoje również nie. Jesteś tu tylko moderatorem a nie królem. Masz coś do powiedzenia w temacie (czyt. chcesz pomóc), zapraszam. Jeżeli nie, proszę - nie wypowiadaj się.

PS. Za niecenzuralne słowo przepraszam. Poniosło mnie - bo nie czuję się leniem.

Wątpię, aby ktoś miał wykupiony abonament w tym serwisie oprócz Ciebie.


Moim zadaniem jest tu pilnowanie porządku. Jeśli Ci się wydaje inaczej - zawsze możesz sprawę zgłosić do administratora. Poza tym, odpowiadam w każdym poście na temat, więc w czym problem?


Trzymaj nerwy na wodzy. To nie jest miejsce na "noszenie".

A co do tematu: zapomniałem jeszcze dodać o nagłówkach bez cache'owania.

To pierwsza rzecz, którą zrobiłem. Na WSTECZ marna rada...

Bo przeglądarka wczytuje stronę z pamięci. Jeśli chcesz, aby strona była naprawdę wczytywana ponownie, to stosuj tokeny i najlepiej SSL (wówczas przeglądarki inaczej traktują zawartość - tzn. nie cache'ują tak stron).