url provenienza dati

**arkus** · 17-11-2010, 14:34

Buon giorno a tutti,
provo a spiegare in poche parole qual è il mio problema.
Ho creato un giochino in flash, al termine della partita vorrei far salvare su un DB mysql il nome del giocatore e il risultato ottenuto con la funzione
sendAndLoad("script.php", ricevi, "POST");
Vorrei far in modo che un utente conoscendo il nome del file script.php non possa inviare i dati in post, vorrei che lo script controlli che i dati in post vengano esclusivamente dal file swf (o dal dominio, in quanto suppongo sia la stessa cosa).

Cercando su web ho trovato il seguente script che però non mi convince molto, o per lo meno vorrei delle rassicurazioni sulla sua effetiva efficacia da persone più esperte:

Codice PHP:


$provenienza = array ('miosito.com','www.miosito.com','ip');



function check_referer($provenienza) {

if (count($provenienza)) {       

  $found = false;       

  $temp = explode("/",getenv("HTTP_REFERER"));

  $referer = $temp[2];       

  for ($x=0; $x < count($provenienza); $x++) {          

    if (eregi ($provenienza[$x], $referer)) {             

      $found = true;          

     }       

  }       

  if (!getenv("HTTP_REFERER")) $found = false;       

  if (!$found){          

    print_error("Provieni da un [b]dominio non autorizzato.[/b]");          

    error_log("[FormMail.php] Illegal Referer. (".getenv("HTTP_REFERER").")", 0);       

  }          

  return $found;       

} else {          

  return true; //     

} 

}

Ringrazio in anticipo per un'eventuale risposta

**arkus** · 18-11-2010, 11:33

Buon dì a tutti,
ho continuato a cercare ma non trovo nulla, vedendo che anche qui nessuno si esprime mi vien da pensare che non ci sia modo di controllare/bloccare l'invio di dati da sorgenti (da swf nel mio caso) estranee al sito.
Spero ancora in una conferma o smentita da parte di qualcuno più esperto.

**arkus** · 12-12-2010, 14:17

Provo a riaccendere la discussione poichè non ho ancora trovato una buona risposta, spero ancora in un chiarimento

**Samleo** · 13-12-2010, 03:06

Intanto ti consiglio di non affidarti al $_SERVER['HTTP_REFERER'].

In secondo luogo, potresti creare un token..Quando un utente accede al flash, fai salvare nel db un codice alfanumerico, che identifica quella giocata. Al termine della partita, invii il token generato all'apertura, e il risultato finale.

Se il token è presente nel DB allora esegui la insert del risultato finale.

Spero di averlo spiegato bene

**arkus** · 13-12-2010, 10:45

buon giorno samleo, intanto ti ringrazio per la risposta, non ci speravo più

provo ad esporti due dubbi sul utilizzo di un token, sono più domande che affermazioni:
- se viene creato lato client, all'interno dell'swf, un utente con un decompilatore potrebbe scoprire il codice utilizzato per comporlo e quindi ricrearne uno a piacimento.
- dovrei crearlo lato server all'apertura della pagina che contiene il gioco, ma poi in qualche modo dovrei passarlo all'swf per avviare lo script php alla fine del gioco, rendendolo così visibile ad esempio con firebug.

Sono preoccupazioni reali le mie, o sono solo supposizioni dettate da inesperienza?

Grazie ancora

Discussione: url provenienza dati

Strumenti discussione

Ricerca discussione

Visualizza

url provenienza dati

Permessi di invio