Ciao a tutti,
avrei necessità di controllare la pagina di provenienza di un form. Ovvero se l'invio mediante post è fatto da una pagina del mio sito o da un piratuncolo che cerca di forzarne le variabili dal un host esterno.
Ho letto di HTTP_REFERER per tale fine, ma ho anche letto che è bypassabile e non è affidabile. Voi che mi consigliate?
Come detto il controllo riguarda solo la provenienza del POST, non devo gestire logins di autenticazione o altri dati 'delicati'.
Grazie mille.
Se vuoi controllare la provenienza da varie pagine del tuo sito puoi settare una variabile di sessione ogni volta con il nome della pagina
$_SESSION["referer"] = $_SERVER["HTTP_HOST"]."/".$_SERVER["PATH_INFO"];
Altrimenti, se l'utente ha un minimo di esperienza e non vuole che venga individuata la sua provenienza, non c'è nulla che tu possa fare per scovarla
Quindi controllare al 100% la provenienza del POST è impossibile?
L'unico controllo efficace è solo a posterioriori e agendo sul filtraggio del contenuto di POST, giusto?
Grazie tante, mi sa che lascio le cose cosi', tanto se vogliono farmi cadere il sito lo fanno uguale.
Il tema è quello
Dipende cosa contiene quel "post"
Solitamente le funzioni htmlentities e addslashes/stripslashes sono sufficienti a scongiurare attacchi tramite "post" e "get"
Permessi di invio
Rispondi quotando