Вопрос по безопасности

[ZOLTER]

Вобщем пишу пишу и понял что все уйтед к черту если ктото просмотрит страницу в ХТМЛе.. у меня кнопки передают параметры в пхп страницу и в зависимости от того что передано загружаеться нужный нам include или require.

 

все былобы хорошо еслибы при просмотре ХТМЛдокумента а точнее кода этой кнопки не было такого :

<input type="hidden" name="go" value="8">

 

т.е. взломщик явно поймет что я передаю переменной $go значение 8, и возьмет например захочет перескочить к концу самого интересного создав у себя кнопку типа <input type="hidden" name="go" value="100"> и перейдет сразу в конец..

 

как этого избежать? конечно можно создать в ячейку в БД и в нее постоянно вписывать что следущяя доступная страница 8я а не 100, и проверку влепить.. но это не практично и не всегда возможно.

[.silent]

немного шифровать?

[ZOLTER]

как? всеравно если смотреть код хтмл он выдаст скрытые поля кнопки а это уже минус =( а вот как хоть сделать чтоб его не пустило на ту страницу пока он не пройдет предыдушюю...

[Dr.Freddy]

Создайте сессию и пишите важные параметры в неё.

[Raynor]

http://phpfaq.ru/sessions

[ZOLTER]

пасиба щяс попробую разобраться..

[ZOLTER]

Сессии мне очень помогли.. жалко тока что там с кукисам могут быть проблемы.. но это уже траблы пользователей что им прийдеться повторно проходить страницы по порядку.. но пока искал вопросы безопасности нашол еще одну интересную штуку думаю комуто будет интересно :

 

А для того, чтобы у пользователя не возникло искушения скачать документ с формами ввода и подправить параметр maxlength, установим где-нибудь в самом начале скрипта, обрабатывающего данные, проверку переменной окружения web-сервера HTTP-REFERER:

 

<?

$referer=getenv("HTTP_REFERER");

if (!ereg("^http://www.myserver.com", $referer))

{

echo "hacker? he-he...\n";

exit;

}

?>

 

Теперь, если данные переданы не из форм документа, находящегося на сервере www.myserver.com, хацкеру будет выдано деморализующее сообщение. На самом деле, и это тоже не может служить 100%-ой гарантией того, что данные ДЕЙСТВИТЕЛЬНО переданы из нашего документа. В конце концов, переменная HTTP_REFERER формируется браузером, и никто не может помешать хакеру подправить код браузера, или просто зайти телнетом на 80-ый порт и сформировать свой запрос. Так что подобная защита годится только от Ну Совсем Необразованных хакеров. Впрочем, по моим наблюдениям, около 80% процентов злоумышленников на этом этапе останавливаются и дальше не лезут - то ли IQ не позволяет, то ли просто лень.

 

тобиш теперь поидеи не смогут передать параметр <input type="hidden" name="go" value="левое значение хакера"> т.к. при запуске скрипта с компа - будет выдавать сообщение hacker? he-he...

 

как думаете это надежная защита или всетаки стоит полностью перевести все важные переменные в сессию?

[Raynor]

всетаки стоит полностью перевести все важные переменные в сессию

Так как

переменная HTTP_REFERER формируется браузером, и никто не может помешать хакеру подправить код браузера, или просто зайти телнетом на 80-ый порт и сформировать свой запрос.

[Destruction]

Незнаю зачем такие извращения - по интернету давно ходит утилита InetCrack, да и php.net/fsockopen Никто не отменял..

Делать надо так:

if(strlen($_POST['my_var']) > 20){
  die("Unknown error. Contact to administrator.");
}

 

 

ЗЫ: Сообщение - защита от дурака, большинство кулл-хацкеров увидев подобный текст еще ни один час будут пытаться использовать "неизвестную ошибку" в своих нехороших целях.