всем привет.
допустим есть форма:
...<form action="url" method="POST или GET">...
как можно проследить откуда пришли данные??
и еще вопрос: при методе GET, можно просто в строке url дописывать ?a=1&b=2 и так далее, а каким образом отослать запрос через POST не имея доступа к файлам??
заранее извиняюсь если вопросы глупые.
1. xuman128 - 19 Марта, 2011 - 15:40:49 - перейти к сообщению
2. DlTA - 19 Марта, 2011 - 15:59:52 - перейти к сообщению
1) $_SERVER['REQUEST_URI']
2) да можно, обычно так и делают
2) да можно, обычно так и делают
3. OrmaJever - 19 Марта, 2011 - 16:01:12 - перейти к сообщению
xuman128 пишет:
как можно проследить откуда пришли данные??
никак. Можно проверить реферер но его легко поделать.
xuman128 пишет:
каким образом отослать запрос через POST не имея доступа к файлам??
самый простой способ создать документ html написать туда форму изменить только action="http://site.ru/file.php" и открыть файл в браузере. Если посложнее то пост можно отправить через curl
4. ALEN - 19 Марта, 2011 - 16:01:21 - перейти к сообщению
xuman128
Ну referer можно подделать , смотри вообще глобальные переменные через phpinfo()
Ну referer можно подделать , смотри вообще глобальные переменные через phpinfo()
5. xuman128 - 19 Марта, 2011 - 16:16:52 - перейти к сообщению
DlTA пишет:
1) $_SERVER['REQUEST_URI']
2) да можно, обычно так и делают
2) да можно, обычно так и делают
супер)) спасибо!
OrmaJever пишет:
самый простой способ создать документ html написать туда форму изменить только action="http://site.ru/file.php"
спасибо, готово!
OrmaJever пишет:
Можно проверить реферер но его легко поделать.
а как подделать??
6. ALEN - 19 Марта, 2011 - 16:27:25 - перейти к сообщению
xuman128
Посмотри тот же курл там можно подставить значения к любому отправляемому заголовку. На сервер то отправляет твой браузер данные, поэтому - это как слово от человека, которое ты не можешь проверить.
Посмотри тот же курл там можно подставить значения к любому отправляемому заголовку. На сервер то отправляет твой браузер данные, поэтому - это как слово от человека, которое ты не можешь проверить.
7. JustUserR - 20 Марта, 2011 - 00:00:04 - перейти к сообщению
xuman128 пишет:
В качестве возможного варианта решения предполагаемой задачи, заключающеся в определении оригинального источника передаваемого набора инкапсулированных информационных полей из ассоциированного GET/POST-запроса, возможно использование внедрения специализированных криптографических блоков данных, на основании которых возможно обеспечение идентификации ориганальной исполняемой HTML-страницы с целевой пользовательской формы, на основании которой была произведена подача запросаКак можно проследить откуда пришли данные??
Реализация предполагаемого метода может быть основана на создании статической HTML-страницы с включенным интерактивным транспортным элементов, на основании которых вложенные блоки активных JS-приложений позволяют генерировать сопоставленных для данной сессии взаимодействия код подачи запроса
Использование предполагаемого метода позволяет включить существенный порядок категории защиты, относительно автоматических систем подачи запроса на удаленный web-сервер, кроме управляемых эмулирующих взаимодействие приложений типа HTA