امنیت برای ورود داداه ها

meysamk · Jul 17, 2010

به نام خدا

با سلام،
بنده قصد دارم از طریق یک فایل فلش چند داده رو به php ارسال کنم تا اونها رو در دیتابیس قرار بده! خوب در این مشکلی نیست. اما هر کسی میتونه به راحتی به این فایل php داده ای رو ارسال کنه و کار ما رو خراب کنه. آیا راهی هست که php فقط داده ها رو از یک مسیر خاص بگیره؟

ممنون

ziXet · Jul 17, 2010

meysamk گفت:
به نام خدا

با سلام،
بنده قصد دارم از طریق یک فایل فلش چند داده رو به php ارسال کنم تا اونها رو در دیتابیس قرار بده! خوب در این مشکلی نیست. اما هر کسی میتونه به راحتی به این فایل php داده ای رو ارسال کنه و کار ما رو خراب کنه. آیا راهی هست که php فقط داده ها رو از یک مسیر خاص بگیره؟

ممنون

خب میتونی یه verify key درست کنی یا سشن ست کنی!

alireza82 · Jul 18, 2010

meysamk گفت:
به نام خدا

با سلام،
بنده قصد دارم از طریق یک فایل فلش چند داده رو به php ارسال کنم تا اونها رو در دیتابیس قرار بده! خوب در این مشکلی نیست. اما هر کسی میتونه به راحتی به این فایل php داده ای رو ارسال کنه و کار ما رو خراب کنه. آیا راهی هست که php فقط داده ها رو از یک مسیر خاص بگیره؟

ممنون

میتونی refer رو هم چک کنی
موفق باشید

meysamk · Jul 18, 2010

alireza82 گفت:
میتونی refer رو هم چک کنی
موفق باشید

سلام،
از refer چطوری استفاده کنم؟

ممنون

sharktech · Jul 18, 2010

شما می تونید ip و refer رو چک کنید تا مطمئن بشید اطلاعاتی که فرستاده شدن حتما از سایت خودتون فرستاده شده.

PHP:

<?php

$ref = $_SERVER['HTTP_REFERER'];

$ip = $_SERVER['REMOTE_ADDR'];

?>

Masoud1365 · Jul 18, 2010

البتته این $_server['http_referer'] رو میشه تغییرش داد !

meysamk · Jul 18, 2010

اگه بشه تغییرش داد که دیگه به چه دردی میخوره. فقط میتونه جنبه آماری داشته باشه!
حالا از این حرف ها گذشته این روش برای کار ما هیچی بر نمیگردنه. چون لابد فلش است و فلش هم اونا رو باز نمکینه و فقط داده میفرسته و دریافت میکنه!
بنظرتون راه دیگه ای نیست؟

Masoud1365 · Jul 19, 2010

نمیتونی سشن ست کنی ؟
اگر میتونی داخل فرمت یه فیلد مخفی بزار که مقادیرش به صورت رندم عوض بشه بعدش همون مقدارو بریز داخل سشن بعدش چک کن ببین مقدار ارسالی با سشن برابر هست یا نه !
یا اصلا فقط چک کن ببین سشن هست یا نه !

meysamk · Jul 19, 2010

سلام،

بهترین کار استفاده از همین سشن است. ما میتونیم توی فلش یک صفحه login درست کنیم و داده را با POST به php بفرستیم تا اونها رو با داده های توی بانک مقایسه کنه و توی سشن بزاره و در صفحات بعد هم از این سشن برای شناسایی استفاده کنیم.
بنظر شما این راه درستی هست؟
چون که کاربر حتی یک صفحه php رو باز نخواهد کرد و همه داده با POST ارسال میشن!
آیا این موضوع به امنیت کار ضربه نمیزنه؟

Masoud1365 · Jul 19, 2010

مسئله verify کردن اطلاعات هست که آیا از این فرمی که ما درست کردیم اطلاعات ارسال شده یا از یه جای دیگه !
اول باید یه فیلد مخفی داشته باشیم و یه سشن هم ست کنیم با همون مقداری که داخل فیلد مخفی هست ( که رندم مقدار دهی میشه ) بعدش توی اون فایل php که اطلاعات رو میگیریم ببینیم که آیا سشن با مقدار فیلد مخفی ما برابر هست یا نه ! اینجوری مطمئن میشیم که از فرم خودمون اطلاعات ارسال شده نه از جای دیگه ! :wink: