Защита от вторжения в php
Чем плолха моя архитиктура? Задача была в том что бы страница при вызове разных php не перезагружалась
А все потому что это не нужно. Ну подделали POST (тот еще вопрос кому будет настолько нечего делать что он будет заниматься подделкой запросов к вашему сайту), ну получили результат. Какая разница-то кто получил результат ваша страница или нет?
RussianSpy: ну мало-ли .. мож у человека скрипт делает какие-то записи в БД, или создаёт какие-нить файлы на сервере, или шлёт что-то куда-то ... кто знает ...
автор: ну придумайте свою систему идентификации какую-нибудь .. подумайте как-бы это реализовать с помощью , там, файлов, или ещё чего-нить. начало двенадцатого. лень думать.
RussianSpy: ну мало-ли .. мож у человека скрипт делает какие-то записи в БД, или создаёт какие-нить файлы на сервере, или шлёт что-то куда-то ... кто знает ...
И что? Если файл производит какие-то потенциально опасные действия - это беда как я и говорил архитектуры приложения и кривых рук.
В любом случае поскольку это разрешено для страниц его сайта - не нужно много ума и времени, чтобы посмотреть какая информация шлется от страницы к скрипту и радостно подделать подобный запрос.
Никакая идентификация не поможет. Не существует средств позволяющих отличить POST запрос со страницы от сгенеренного вручную. Ни шифрование, ни сессии вам не позволят этого сделать. Надеюсь не надо разжевывать и объяснять почему
Это вы вообще про что?
:D +1 )))))
амсь :confused: Вобще-то как раз get-запросы по урлу идут.. но это-то тут причем?
А как?
Если у пользователя стоит фаерволл - вы ничего не увидите. В подавляющем числе случаев HTTP_REFERER и X_FORWARDED_FOR вырезаются фаерволлами и шлюзами.
Тоже интересная мысль, может так и сделаю, спасибо
А какая ему разница до пользователей каких-то? Ему главное что-бы у него (админа) эта инфа уходила на сервер.