| |
|
|
| | Есть проблема
Я собираюсь использовать AJAX для отправки в базу сообщений методом POST.
Проблема же заключается в том, что можно сделать на любом сайте форму, которая будет передавать этим методом информацию моему скрипту. Как это пресечь? Если проверять referer, то его можно подделать.
Как поступить? | |
| |
|
|
| |
|
|
| |
для: bronenos
(23.02.2007 в 11:38)
| | | Можно в РНР-файле сессии использовать. | |
| |
|
|
| |
|
|
| |
для: coloboc66
(23.02.2007 в 11:48)
| | | Нет, тут дело иначе
Заполняется текстовое поле и передается AJAX'ом в соседний скрипт методом POST, который (скрипт) добавляет это дело в файл, вот и вопрос, как схитрить, чтоб принимались данные только от моего сайта, а не, допустим, с формы какой-то поддельной на lohi.com | |
| |
|
|
| |
|
|
| |
для: coloboc66
(23.02.2007 в 11:48)
| | | Кажется я сейчас ответил на свой вопрос
index.php
<?php
session_start();
$key = substr (session_id(), 0, 16);
$_SESSION['key'] = md5 ($key);
/*
Отправляем через ajax данные + строку
sid=<?=session_id()?>
*/
?>
|
send.php
<?php
session_id ($_GET['sid']);
session_start();
$key = substr ($_GET['sid'], 0, 16);
if ($_SESSION['key'] == md5($key))
// все в порядке, вы с нашего сайта
else
// ошибка, воспользуйтесь нашей формой
?>
|
Ничего лучше не придумал
Скажите, есть ли уязвимости в такой защите | |
| |
|
|
| |
|
|
| |
для: bronenos
(24.02.2007 в 11:47)
| | | Что, способ безопасный?
Или можно сделать еще лучше? | |
| |
|
|
