[php] $_SERVER

[marte101]

Visto che ho un form in una pagina html che invia dati ad una pagina php, per aumentare la sicurezza volevo sapere se c'era un modo per evitare che qualche malintenzionato mandasse dati tramite altri form alla mia pagina php

ho pensato che verificare che la richiesta provenga dal mio sito tramite $_server è una buona idea, che ne dite?

Grazie

[neryo]

Originariamente inviato da marte101
Visto che ho un form in una pagina html che invia dati ad una pagina php, per aumentare la sicurezza volevo sapere se c'era un modo per evitare che qualche malintenzionato mandasse dati tramite altri form alla mia pagina php

Hai provato a creare un form su un altro server e mandare in post i dati al tuo script?

[Fabio Heller]

Originariamente inviato da neryo
Hai provato a creare un form su un altro server e mandare in post i dati al tuo script?

E' possibile, ovviamente

[Fabio Heller]

Originariamente inviato da marte101

ho pensato che verificare che la richiesta provenga dal mio sito tramite $_server è una buona idea, che ne dite?

Puoi verificare il referer (il sito di provenienza) ma non è affidabile.
L'unica soluzione seria è validare i dati che provengano dal form, cioè verificare che corrispondano a ciò che ti aspetti

Vedi questi articoli
http://freephp.html.it/articoli/view...olo.asp?id=123

http://freephp.html.it/articoli/view...olo.asp?id=139

[marte101]

Mi sono già fatto una cultura in fatto di sql_iniection e tutti i campi vengono sottoposti ad un controllo di tipo e di valore ma visto che parte del controllo dei dati del form ho pensato di passarlo a javascript (intendiamoci solo verificare che i campi siano riempiti e che alcuni siano numeri)il problema che sorgeva era quello di evitare che i dati provenissero da un altro form e che quindi scavalcassero il controllo iniziale.

Perchè dici che non è affidabile?

[Fabio Heller]

Originariamente inviato da marte101
Perchè dici che non è affidabile?

Non puoi impedire che i dati arrivino da un form esterno al tuo sito, ma la cosa non è un pericolo in alcun modo se la validazione avviene nel modo corretto.

Il controllo sul referrer non è affidabile perchè il referrer è un header (facoltativo) falsificabile con uno script che utilizza i socket per effettuare una request HTTP


P.s. OT
Sbaglio o il tuo avatar e la tua firma sono citazioni dal Sandman di Neil Gaiman?

[marte101]

[B]
Il controllo sul referrer non è affidabile perchè il referrer è un header (facoltativo) falsificabile con uno script che utilizza i socket per effettuare una request HTTP

A maggior ragione sarebbe efficace il controllo:

se nella pagina che prende i dati in IN mettessi come condizione che

if ($_SERVER[non mi ricordo il nome] != mio host) exit();

non sarebbe corretto?


P.s. OT
Esatto, anche tu cortigiano del re dei sogni?

[Fabio Heller]

Originariamente inviato da marte101
A maggior ragione sarebbe efficace il controllo:

se nella pagina che prende i dati in IN mettessi come condizione che

if ($_SERVER[non mi ricordo il nome] != mio host) exit();

non sarebbe corretto?

Il fatto è che è possibile falsificare il contenuto di
$_SERVER['HTTP_REFERER'];

P.s. OT
Esatto, anche tu cortigiano del re dei sogni?

Sì

[marte101]

è possibile falsificare tutti i dati di $_server ?? VVoVe:

[Fabio Heller]

Originariamente inviato da marte101
è possibile falsificare tutti i dati di $_server ?? VVoVe:

No, solo il referer che è un header inviato (per sua scelta) dal browser.
Se io creo uno script php che simula un browser posso mettere il referer che voglio
http://freephp.html.it/articoli/view...sp?id=76&pag=7
http://freephp.html.it/articoli/view...p?id=68&pag=12