HTTP_REFERER è sicuro?

**Full79** · 05-12-2004, 23:26

Ciao a tutti,
vorrei chiedervi se secondo voi mettere un controllo di questo tipo:

codice:

if ($_SERVER[HTTP_REFERER]=="http://www.miosito.it/convalida.php"){

}

è sicuro? Ovvero sono certo al 100% che quell'utente proviene dalla pagina http://www.miosito.it/convalida.php o ci possono essere modi per contraffare questo controllo?

Grazie.

**spoon25** · 05-12-2004, 23:41

$_SERVER['HTTP_REFERER'] è tutto tranne sicuro, in alcuni browser si può cambiare o semplicemente non inviare, ...

Dunque non basarti su questo se vuoi esser sicuro al 100%

**daniele_dll** · 05-12-2004, 23:45

inoltre moltissimi firewall, antivirus, proxy e cosi via, lo bloccano in automatico per motivi di privacy

io direi che non è completamente, per niente, sicuro (tranne se lo usi in una intranet...in quel caso...fai sistemare i computer dell'interno per farli lavorare in un certo modo)

**Full79** · 05-12-2004, 23:50

conoscete valide alternative?

**daniele_dll** · 05-12-2004, 23:53

non ne esistono in generale...nello specifico dipende da quello che devi fare

**Full79** · 06-12-2004, 00:38

devo far comunicare 2 pagine che stanno su siti diversi e ho bisogno che le informazioni passate siano corrette...

**}gu|do[z]{®©** · 06-12-2004, 00:57

Originariamente inviato da Full79
devo far comunicare 2 pagine che stanno su siti diversi e ho bisogno che le informazioni passate siano corrette...

sessioni

**Full79** · 06-12-2004, 00:59

ma le sessioni sono dei semplici cookie che uno potrebbe modificare quando vuole, o mi sbaglio?

**}gu|do[z]{®©** · 06-12-2004, 01:02

Originariamente inviato da Full79
ma le sessioni sono dei semplici cookie che uno potrebbe modificare quando vuole, o mi sbaglio?

no.. le sessioni USANO EVENTUALMENTE un cookie per riconoscere la sessione.. nel cookie c'è una stringa di non so quanti bit che identifica la tua sessione.. modificarla e beccare la sessione di un altro è praticamente impossibile.
I dati che memorizzi in sessione risiedono sul server.
Se non ti basta puoi implementartele tu usando il database per archiviare i dati (ma secondo me vale la pena solo se gestisci dati DAVVERO importanti come carte di credito e simili)

**thyphoon** · 06-12-2004, 17:47

Originariamente inviato da spoon25
$_SERVER['HTTP_REFERER'] è tutto tranne sicuro, in alcuni browser si può cambiare o semplicemente non inviare, ...

mi dici come si fa...

Discussione: HTTP_REFERER è sicuro?

Strumenti discussione

Ricerca discussione

Visualizza

HTTP_REFERER è sicuro?

Permessi di invio