"невидимый" запрос к php
 

Из flash приложения нужно вызвать php код. Сама флэшка находится на сервере. Но в планах безопасности нельзя, чтобы юзер знал путь до php. В этом проблема, если я передаю просто то все подключения можно посмотреть через LiveHTTPHeaders.
Можно как либо скрыть эти подключения?

никакие подключения нельзя скрыть.

:o жаль. А flex тоже не может решить проблему?

Нет :(

хм... ну я думаю все таки можно... если я ничего не путаю... )
Создавайте свой протокол на основе класса Socket шифруйте как хотите и будет вам сокрытие данных)))

ramshteks, и чем они скрытые?

KillDead, если вы не врубились, я не имел ввиду ни какой из фрэймворков. я имел ввиду, то что вообще нельзя скрыть никакие подключения, кроме тех подключений, которых не происходит. либо подключение есть и мы о нём знаем, либо его нет, и мы о нём не знаем.

и вобще не понятен смысл

php скрипт, в любом случае не льзя скачать, какая разница, где он лежит и знает ли, об этом кто то

что то я и правда глупости говорю)

Я так понимаю, что KillDead хочет скрыть путь до php, чтобы пользователю было сложнее сделать свой клиент который будет, скажем, писать в базу данных свои фиктивные рекорды, обращаясь к скрипту.

Но от этого никуда не скрыться, в общем-то. Тем более, что swf все равно можно декомпилировать.

Типо того: скрипт предполагает возможность отправить email юзеру. И, зная путь до php, можно спамить, да и ср_ть в базу, простым запросом.
Предполагается пройтись обусфактором.
Спасибо за проявленный интерес. :bye: Буду шаманить над сессиями

На этот случай придуманы всякие "обходные маневры" в ПХП, типа можно проверить User-Agent, HTTP-referrer, генерить и проверять SID ну и еще пару фишек в том же духе... но, все равно, замаскироваться под клиента возможно... так что это сразу же нужно принимать во внимание. Да, и еще ПХП файл можно скачать, если соответствующие привилегии выставлены.

Хм... в таком случае я бы делал примерно следующее:
логинимся -> генерим SID -> (если есть возможность mxmlc положить на сервер, и там его запускать) генерим флешку с этим SID и отдаем ее пользователю -> пользователь при запросе отдает этот же SID -> проверяем, если совпало - посылаем, если нет -> до свидания =) конечно, можно вскрыть флешку, найти ключ и быстренько перенастроить клиента, чтобы тот посылал запросы используя новый ключ, но это уже на порядок заморочливее... а если ключ еще будет по-разному раскидан внутри флешки каждый раз + експарился, через, скажем, полчаса... ну, вобщем, конечно не идеально, но автоматизировать процесс будет очень не просто...

а что, доступ в базу, у вас происходит без логина и пароля ? или вы его любезно держите в php скрипте или вы просто не закрываете соединение, с базой после обращения к ней ?

самое простое, не держим пароли вобще не где, собственно вводим в форму, которая посылает введенные данные скрипту и все, даже если кто то узнает путь, до php и запустит ,собственно откуда то его, то толк он не получит не какой ....

А что если злоумышленник - это вполне себе законно зарегистрировавшийся пользователь?

эм, ну тут да, конечно не сладко, чето я не подумал ...

Ребята, значит когда я вижу на какой-либо флэш-страничке "Устанавливается защищенное соединение с сервером" это все полная ерунда?

Нет, это просто из другой оперы =) соединенное соединение (HTTPS) шифрует то, что передаем / получаем, но никак не "куда".

Кстати, не нашел ни одного нормального обфускатора. Та же Amayeta не хочет дружить с AS3 :( Практически ничего в коде не изменила (пробовал на нескольких своих флешках), даже не усложнила читабельность кода...

Скажите, это делается не одними только средствами флэша, как я понимаю? Может есть у кого ссылочка на подробное описание как это сделать...

Имеет смысл всёж же как-то на сервере следить за принимаемыми скриптом данными. Например реализовать аутентификацию пользователю, не давать ему слать письма слишком часто или вовсе выделить лимит в день...

По поводу все того же безопасного соединения. Флэш не поддерживает SSL соединения, как они его реализовали (те, чью флэш-страничку я видел)?

darksranger, где посоветуете хранить пароли к базе? соединение с ней происходит из php.

пароли к базе нужно хранить в месте недоступном с удаленного домена...
например, в месте выше указанного как DocumentRoot для apache...

т.е, выше httdocs? подскажите, как это реализовать?

Странно как то вы рассуждаете, а не обслуживать запросы приходящие не с вашего домена разве уже не кошерно?

Надо использовать CGI-интерфейс и будет вам счастье (это по поводу боязни скачивание php-файлов). Правда, не знаю, можно ли через cgi пустить именно php.

Именно. Только что тут реализовывать. Создаете где-нибудь у себя на диске файл с настройками доступа к базе данных в месте, недоступном из веба. А в скрипте, который юзает базу пишете, например если под виндовс, то Добавлено через 6 минут
А по поводу того, что php-скрипты нельзя скачать: в моей практике был случай, когда для того чтобы скачать все скрипты достаточно было всего-лишь постучаться на другой порт, например не на 80, а на 8080 :D

Немного не в тему, но у меня периодически качаются showthread.php этого форума, когда он тормозит.

Да, у меня это происходит при клике на тему

alekslitvinenk, можно пример под unix?