Проверка данных с сервера

koox · 23.12.2003, 14:12

День добрый всем!
Трабл такой: как мне проверить, откуда пришли данные - с моего сервака или нет?
То есть, данные из формы, расположенной на http://myservak.com, к скрипту myscript.php, должны обрабатываться и использоваться дальше, а из формы (такой же), лежащей на любом другом сервере и заполненной, не обрабатывались вообще?
Какая проверка должна быть в myscript.php?
Сорри за путанность ;-(

Crazy · 23.12.2003, 14:34

Ответ: ты не должен этого хотеть. Если интересно -- могу объяснить причины.

juggy · 23.12.2003, 14:42

PHP код:


			
<?

// ©2003 Authors Mitya Aleshkovsky [email]mitya@127.ru[/email]



    $var=stripslashes(strip_tags($HTTP_POST_VARS['testvar']));

    $from=$HTTP_SERVER_VARS['HTTP_REFERER'];



    if(!isset($var))

    {

    echo "<form method=post action=\"".$PHP_SELF."\">\n<input type=\"text\" name=\"testvar\">\n</form>\n";

    }else{

        if(!isset($from))

        {

            echo "Не понятно вообще откуда были переданы данные.";

        }

        else

        {

        

            $from=parse_url($from);

            if(stristr($from['host'],"myservak.com"))

            {

                echo "Переменная пришла именно с MyServak.com";

            }

            else

            {

                echo "Переменная пришла не понятно откуда.";

            }

        }



    }



?>

Crazy · 23.12.2003, 14:51

Какая наивность.

PHP код:


			
$ch = curl_init (); 

...

curl_setopt($ch,CURLOPT_REFERER, 'http://myservak.com/form.html');

...

$result = curl_exec ($ch); 

...

Кстати, читая данный конкретный код проверки я нашел способ хакнуть его даже без использования серверных скриптов.

juggy · 23.12.2003, 14:57

ну да.
ещё можно

PHP код:


			
@fputs($fp, "GET ".$uri["path"].$uri["query"]." HTTP/1.0\r\nHost: ".$uri["host"]."\r\nUser-Agent: NaebExplorer\r\nReferer: http://myservak.com\r\n\r\n");

А есть ли реальные способы это обойти?

Crazy · 23.12.2003, 15:03

Реальных способов обойти -- нет. Можно защититься от тупой пионерской установки формы, адресующей чужой скрипт. В этом подойдет твой скрипт, если исправить в нем ошибку.

Далее: есть мнение, что произошла подмена задач и на само деле требуется нечто иное, а не именно защита от поста с другого сайта.

P.S. Тестовый пример:

PHP код:


			
<?php

$from = 'http://myservak.com.foobar.ru/form.html';

$from=parse_url($from);

if(stristr($from['host'],"myservak.com"))

  echo "Переменная пришла именно с MyServak.com";

else

  echo "Переменная пришла не понятно откуда.";

?>

Думаю, исправить будет несложно.

koox · 23.12.2003, 21:22

Спасибо большое! Сейчас посмотрю ваш код, есличего не пойму - поспрошаю еще чуток, ОК?
А насчет неправильно поставленной задачи - согласен целиком и полностью, может я чего не так объяснил, сорри еще раз!
Просто мне нужно, чтоб скриптик мой рассматривал переменные, пришедшие только из МОЕЙ формы (лежащей на моем серваке), а со всех остальных - нет. А то и выводил чего в браузере ;-)

Crazy · 23.12.2003, 21:28

Цитата:

Оригинал написал(а) koox
пришедшие только из МОЕЙ формы

Ты все перепутал. Никакие переменные из ТВОЕЙ формы не приходят. Они приходят из браузера пользователя.

koox · 24.12.2003, 02:55

Да, верно, sorry again. Они должны приходить вообще из флэшки, которая ембэдится, например, в flash.html. То, что данные были внесены в форму во флэше, что лежит на моем серваке, я могу проверить? Переменные уходят к пхп-шному скрипты, который их обрабатывает и пишет что-либо на сервере в файл. А так получается, что разобрав пары переменная-значение и зная адрес скрипта, проще простого положить на лябой сервак форму, назвать поля, как надо и в экшне написать хттп://ля-ля.ком/скрипт.пхп, ГЕТ - и вуаля! А это не есть гуд ;-(

Crazy · 24.12.2003, 09:56

Цитата:

Оригинал написал(а) koox
Д А это не есть гуд ;-(

Для начала определимся: чем конкретно тебе это не нравится?