LEVARE allocazione automatica di $_GET e $_POST

[Nokao]

Alla fine ho usato questo:
if ((__FILE__==$_SERVER['SCRIPT_FILENAME']) OR ($_SERVER['SCRIPT_FILENAME']!=$Index_Path) ) die ("Pussa via...!");

All'inizio di tutte le pagine che includo per "montare" il sito.

E pare funzionare alla grande.

Ho anche 3 pagine che sono dei popup... e' possibile controllare anziche' "l'includer" il "parent" che apre il popup?

C'e' una soluzione per mettere al sicuro anche queste 3 finestre di popup, oppure devo metterle al sicuro individualmente con delle query al database (login, nome, ecc).

In alternativa... forse potrei farli dei finti popup... cioe' metterle all'interno della pagina principale e "mostrarle" in delle finestrelle aperte, per esempio, con javascript.

Mai fatto ma magari posso provare... avete delle idee?

[Fabio Heller]

Sì ha ragione Piero, dimenticavo che in WIN __FILE__
restituisce un percorso con i backslash

X l'ultima domanda di Nokao

ti preoccupi un po' troppo e cmunque è assurdo fare dele query al db per controllare un'inclusione o un pop-up.

Non puoi verificare il parent con PHP, visto che il rapporto di parentela tra finestre è tale solo per il browser (javascript).

Potresti controllare il referrer ($_SERVER['HTTP_REFERER']) se non apri la finestra con javascript.
Potresti inizializzare una variabile di sessione, con il nome della pagina che apre e verificare nella pagina aperta che questa esista e sia quella giusta...ma mi sembrano soluzioni un po' paranoiche

Più semplicemente, nelle pagine che non vuoi siano raggiunte isolatamente, verifica di utilizzare solo le variabili che realmente ti servono e che queste abbiano un valore previsto.

[Nokao]

Originariamente inviato da Fabio Heller
ti preoccupi un po' troppo e cmunque è assurdo fare dele query al db per controllare un'inclusione o un pop-up.

Dipende da cosa contengono....

Se fai un sito in cui vuoi proteggere dei dati, e poi nei file (popup e inclusioni) che li estraggono dal database, si puo' accedere senza login....

... allora hai fatto un sito non sicuro

[piero.mac]

Originariamente inviato da Nokao
Dipende da cosa contengono....

Se fai un sito in cui vuoi proteggere dei dati, e poi nei file (popup e inclusioni) che li estraggono dal database, si puo' accedere senza login....

... allora hai fatto un sito non sicuro

Appoggio il paranoia....

Se i dati sono cosi' preziosi ed i dubbi tanti, manda i dati per fax.

Ma che razza di script hai fatto se puoi accedere al db senza login? Almeno la prima volta per identificarsi dovra' accedere al db senza essere autenticato... o no? e poi basta controllare lo user.

L'indicazione del controllo cosi' banale ed efficente che ti e' stata data e spiegata, serve ad impedire l'accesso diretto da URL al file senza scomodare htaccess o altre cose. Ovvia la precauzione, dentro ci saranno i tuoi dati per il collegamento al server ed altre cose. I dati per accedere al db di lavoro NON sono scritti in alcun file, ma verranno digitati dallo user. Se lo user si abbona per scaricare un porno o leggere un giornale e poi passa username e pwd ad altre 1000 persone che sono in societa' ... altre 1000 persone leggeranno il giornale ecc... tu puoi solo controllare che se e' loggato uno non ne lasci loggare altri con lo stesso username e pwd.

that's all

[Nokao]

Originariamente inviato da piero.mac
Ma che razza di script hai fatto se puoi accedere al db senza login? Almeno la prima volta per identificarsi dovra' accedere al db senza essere autenticato... o no? e poi basta controllare lo user.

Ho fatto uno script come tutti gli script di questo mondo.

Ma se INCLUDO le pagine che estraggono, per esempio la lista degli utenti del database.

E voglio che questa lista sia privata...

QUEL file .php va protetto, altrimenti uno digitando il link del file .php chiamato "lista.php" Accede alla lista utenti e la vede, anche se non ha fatto alcun login.

Infatti tutti i controlli li metto nell'index.php che include le varie pagine.

Se non ti piace a me non me ne frega proprio niente

Deve piacere a me.

Per rendere un portale del genere sicuro avrei dovuto controllare il login ad ogni pagina che includevo, invece cosi' ho delegato tutto all'"index.php".

Su altervista posso fare 1000 query all'ora quindi meno volte controllo il login meglio e'.

[piero.mac]

Ma da quando tu apri una pagina e lei ti spara ipso facto tutti i record.... e' da manicomio.

E' questo che a me non quaglia. Poi fai come ti pare... e' giusto e ovvio.


bye..

[stefano3804]

Originariamente inviato da Nokao

Su altervista posso fare 1000 query all'ora quindi meno volte controllo il login meglio e'.

TU gliene fai fare una sola e poi inserisci il risultato in sessione .....

[Nokao]

Originariamente inviato da stefano3804
TU gliene fai fare una sola e poi inserisci il risultato in sessione .....

La sezione login e registrazione non l'ho fatta io...

[Fabio Heller]

Originariamente inviato da Nokao


Se non ti piace a me non me ne frega proprio niente

Deve piacere a me.

Qui ti stiamo dando dei consigli, mi pare sensati e dettati da quel po' di esperienza che abbiamo (e che mi sembra a te manchi).

Il login si fa una volta, si mette il fatto che l'utente è loggato in sessione e poi si verifica la variaible di sessione nelle varia pagine. Non ci sono altri sistemi decenti.

Fai una ricerca in Google e in freephp con "area riservata PHP" e simili.

Poi sei libero di fare come vuoi, ovviamente

[Nokao]

Io ho integrato phpBB (con il suo login in sessione) con un sito che sto facendo, e ho aggiunto delle funzionalita'.

Ad esempio ho aggiunto una colonna alla tabella degli user chiamata "Potere", cosi' da poter permettere a diversi utenti di accedere a diverse pagine.

E' proprio per quest'ultima funzionalita' che devo fare le query, e per mettere questa variabile nella sessione dovrei modificare il codice di phpBB.

Siccome voglio evitare di farlo, ho semplicemente fatto una funzioncina che estrae con una query il potere di un utente (dato l'id utente che estraggo dalla sessione).

Chiaro adesso?

Per i vostri consigli, vi ringrazio molto.
Specie per quelli di Fabio Heller grazie ai quali ho messo in sicurezza le pagine che fanno le query di estrazione dal database.