Buongiorno,
è da parecchio ormai che provo a trovare una soluzione a questo problema:
giochino in flash con classifica su database mysql, al termine del gioco invio in post i dati del giocatore con il punteggio ottenuto ad uno script php che si occupa di inserire i dati nel DB.
Qui viene il problema: chiunque potrebbe crearsi una form su altro server e inviare al mio script php i dati che vuole, magari con un punteggio altissimo.
Come fare per avitare ciò?
Ringrazio per un'eventuale risposta.
Ciao, potresti fare un controllo su $_SEVER e controllare la chiave http_referer (non ricordo esattamente il nome ma se fai var_dump($_SERVER) dovresti vederla. Li c'e' la url di provenienza.
E' anche vero che un utente esperto volendo con firebug potrebbe creare la form al volo
non puoi farci troppo affidamento sul $_SERVER['HTTP_REFERER']
questo si può fare solo con i token (googlando un pò scoprirai cosa sono...)
ciao marco, ti ringrazio per la risposta,
quella da te proposta è stata la prima soluzione che ho preso in considerazione, ma poi informandomi ho visto che non è sicura, o meglio può essere aggirata facilmente e a volte potrebbe precludere l'accesso ad utenti in realtà "genuini".
ciao Oly, grazie anche ate, ho inserito anche un token, come viene consigliato per evitare problemi CSRF, ma risulta inutile anche questa soluzione essendo un altro tipo di problema.
Permessi di invio
Rispondi quotando