Как защитить часть кода от нежелательного доступа - PHP

Merovingian · 21.09.2011, 20:33

Имеется код вида

PHP код:


			
<?php



//////////////////////////////////////////////////////// ПЕРВАЯ ЧАСТЬ

//соединяемся с базой



if(isset($_GET['w']))

{

    $w = $_GET['w'];

    

    $res = mysql_query("SELECT ........ FROM ....... WHERE id='$w'");

    $row = mysql_fetch_array($res);

    // тут обработка данных, полученных из базы

    

    

    // ну и запихиваем обратно в базу

    mysql_query("UPDATE ........ SET ........='........' WHERE id='$w'");

}

//////////////////////////////////////////////////////////// ВТОРАЯ ЧАСТЬ

$res = mysql_query("SELECT id FROM ........ ORDER BY ..... LIMIT ....", $db);



$row = mysql_fetch_array($res))



echo "<a href=\"index.php?w=$row['id']\">..................</a>"; 

?>

, Можно ли как-то защитить ПЕРВУЮ часть кода от вызова из адресной строки - можно писать в адр. строке "index.php?id=1" и будет выполняться первая часть, а нужно чтобы выполнялась первая часть, только после второй(после нажатия на ссылку)

Приходит в голову только из ссылки сделать кнопку типа submit и проверять POST[submit] - была ли нажата кнопка.

Или может как то вводить переменную как в случае защиты инклюдных файлов от прямого обращения?

Andkorol · 21.09.2011, 20:55

Можно проверять HTTP_REFERER - если переход был по ссылке - то он будет иметь значение, ну а если правили URL - то значения не будет.
Что-то вроде этого:

PHP код:


			
echo (!empty($_SERVER['HTTP_REFERER'])) ? 'link' : 'url';

echo '<br/><a href="?w=1">Test</a>';

Но сама идея стрёмная какая-то - зачем это вообще нужно?

И у вас там SQL-injection во всю...

Merovingian · 21.09.2011, 21:10

Цитата:

Сообщение от Andkorol

Можно проверять HTTP_REFERER - если переход был по ссылке - то он будет иметь значение, ну а если правили URL - то значения не будет.
Что-то вроде этого:

PHP код:


			
echo (!empty($_SERVER['HTTP_REFERER'])) ? 'link' : 'url';

echo '<br/><a href="?w=1">Test</a>';

Спасибо! я почему-то не додумался

Цитата:

Сообщение от Andkorol

Но сама идея стрёмная какая-то - зачем это вообще нужно?

Ваще не нужно))) просто хотел узнать как можно защитить кусок кода)

Цитата:

Сообщение от Andkorol

И у вас там SQL-injection во всю...

Я пытался передать только смысл) Если б я подготовил нормальный код, то можно было бы задержаться тут до завтра читая его

Merovingian · 21.09.2011, 21:26

Andkorol, реферер можно подделать. Есть еще какие-то методы?

Andkorol · 21.09.2011, 21:46

Цитата:

Сообщение от Merovingian

Andkorol, реферер можно подделать.

Если вам нужно защитить данные - ограничивайте доступ к скриптам, имеющим возможность их изменять.
Защищать какой-то отдельно взятый кусок кода, тем более использующий GET - это глупость по определению...

21.09.2011, 20:33	#1
Merovingian Пользователь Регистрация: 25.06.2010 Сообщений: 30	Как защитить часть кода от нежелательного доступа Имеется код вида PHP код: <?php //////////////////////////////////////////////////////// ПЕРВАЯ ЧАСТЬ //соединяемся с базой if(isset($_GET['w'])) { $w = $_GET['w']; $res = mysql_query("SELECT ........ FROM ....... WHERE id='$w'"); $row = mysql_fetch_array($res); // тут обработка данных, полученных из базы // ну и запихиваем обратно в базу mysql_query("UPDATE ........ SET ........='........' WHERE id='$w'"); } //////////////////////////////////////////////////////////// ВТОРАЯ ЧАСТЬ $res = mysql_query("SELECT id FROM ........ ORDER BY ..... LIMIT ....", $db); $row = mysql_fetch_array($res)) echo "<a href=\"index.php?w=$row['id']\">..................</a>"; ?> , Можно ли как-то защитить ПЕРВУЮ часть кода от вызова из адресной строки - можно писать в адр. строке "index.php?id=1" и будет выполняться первая часть, а нужно чтобы выполнялась первая часть, только после второй(после нажатия на ссылку) Приходит в голову только из ссылки сделать кнопку типа submit и проверять POST[submit] - была ли нажата кнопка. Или может как то вводить переменную как в случае защиты инклюдных файлов от прямого обращения? Последний раз редактировалось Merovingian; 21.09.2011 в 20:36.

21.09.2011, 20:55	#2
Andkorol Старожил Регистрация: 31.05.2010 Сообщений: 3,301	Можно проверять HTTP_REFERER - если переход был по ссылке - то он будет иметь значение, ну а если правили URL - то значения не будет. Что-то вроде этого: PHP код: `echo (!empty($_SERVER['HTTP_REFERER'])) ? 'link' : 'url'; echo '<br/><a href="?w=1">Test</a>';` Но сама идея стрёмная какая-то - зачем это вообще нужно? И у вас там SQL-injection во всю...

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
будьте добры, прокомментируйте часть кода	nps1	Assembler - Ассемблер (FASM, MASM, WASM, NASM, GoASM, Gas, RosAsm, HLA) и не рекомендуем TASM	2	22.06.2011 09:47
Прокомментировать часть кода	Kasper1	Общие вопросы по Java, Java SE, Kotlin	4	08.01.2011 20:42
патттерн Observer(Непонятна часть кода) С++	sasharu9	Помощь студентам	1	09.12.2010 03:58
Как защитить БД SQLite3?	Greek9000	БД в Delphi	0	26.03.2010 08:57
Помогите, пожалуйста, реализовать часть кода	Horknee	Паскаль, Turbo Pascal, PascalABC.NET	2	01.12.2008 23:30

21.09.2011, 21:26	#4
Merovingian Пользователь Регистрация: 25.06.2010 Сообщений: 30	Andkorol, реферер можно подделать. Есть еще какие-то методы?