Ερώτηση ασφαλέιας σε php

Σε αυτή την περιοχή μπορείτε να βρείτε ή να αναζητήσετε πληροφορίες σχετικές με την PHP

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση
DeveloperGR
Δημοσιεύσεις: 67
Εγγραφή: 08 Νοέμ 2009 22:59

Ερώτηση ασφαλέιας σε php

Δημοσίευση από DeveloperGR » 10 Δεκ 2009 20:41

καλησπέρα ,

υπάρχει τρόπος ωστε να υλοποιησω την παρακάτω λογική ;;

έχω στον web server μου 2 αρχεία [ index.php , insert.php ]

το αρχείο index.php κάνει post τα δεδομένα στο script insert.php κ γράφει σε μια βάση....Πώς μπορώ να εισάγω στο script μου μια συνθήκη που να ελέξχει εαν το insert.php καλέστεικε απο το index.php κ οχι απο κάποιο εξωτερικό [ μη local δηλ ] script;;;;;

Ευχαριστώ.

Άβαταρ μέλους
fafos
Script Master
Δημοσιεύσεις: 6231
Εγγραφή: 30 Νοέμ 2004 03:09

Ερώτηση ασφαλέιας σε php

Δημοσίευση από fafos » 10 Δεκ 2009 21:03

me session...
Οι πάνες και οι πολιτικοί πρέπει να αλλάζονται συχνά για τον ίδιο λόγο...

nbc
Honorary Member
Δημοσιεύσεις: 526
Εγγραφή: 05 Σεπ 2009 20:12
Επικοινωνία:

Ερώτηση ασφαλέιας σε php

Δημοσίευση από nbc » 10 Δεκ 2009 21:25

...επίσης με

- define(...) στην index, if (defined(...)) στην insert
- check το $_SERVER['REQUEST_URI']
- κάποια global μεταβλητή
- .htaccess
- μετακόμιση της insert σε προστατευμένο directory

Γενικά μιλώντας, αν η Insert είναι σωστά υλοποιημένη δεν θα έπρεπε να σε νοιάζει από που καλείται. Ή έχει το κατάλληλο περιβάλλον για να λειτουργήσει ή δεν το έχει οπότε επιστρέφει λάθος ούτως ή άλλως.

DeveloperGR
Δημοσιεύσεις: 67
Εγγραφή: 08 Νοέμ 2009 22:59

Ερώτηση ασφαλέιας σε php

Δημοσίευση από DeveloperGR » 10 Δεκ 2009 22:20

nbc πως μπορώ να βάλω το script μου insert.php σε ενα προστατευμένο καταλογο κ αυτο να καλείται μονο απο συγκεκριμένο script[index.php πχ] ;;;; επίσης επειδη κατάλαβες οτι μιλάω για σχετικά προχωρημένο θέμα ασφαλείας , π.χ κάποιος να έχει εναν sniffer και να μπορεί να φτιάξει εναν client κ να hackarei την βάση μου κτλ κτλ

εχεις κάποια tutorials ή γενικά κάποιες επιπλέον λύσεις ώστε να μου δώσεις μια άκρη να ξεκινήσω;;;;

nbc
Honorary Member
Δημοσιεύσεις: 526
Εγγραφή: 05 Σεπ 2009 20:12
Επικοινωνία:

Ερώτηση ασφαλέιας σε php

Δημοσίευση από nbc » 10 Δεκ 2009 22:48

Δεν υπάρχει κανένας απολύτως λόγος για ένα script να ενδιαφέρεται ποιος το κάλεσε. Αν κάποιος επιθυμεί να κάνει αυτοματοποιημένο remote insert, δεν έχει πρόβλημα να το κάνει μέσω της index. Συνεπώς, αν η ασφάλειά σου στηρίζεται σε αυτό, είναι σα να μην υπάρχει.

Όπως είπα, σε ενδιαφέρει το περιβάλλον. Αν απαιτούνται δικαιώματα, τότε εξέτασε αν το session είναι valid και ο χρήστης έχει τα κατάλληλα προνόμια. Αν απαιτείται μια συνάρτηση, ρώτα με function_exists(). Αν απαιτείται ένα object, is_object(). Μεταβλητή, is_set(). Και ούτω καθ' εξής. Αν όλα είναι ok, τότε δε σε νοιάζει πως κατέληξες εδώ.

Συν τοις άλλοις, αν σε απασχολεί το execution flow τότε σκέφτεσαι με procedural τρόπο, κάτι που δε συνάδει με την OO εποχή μας :D

Απάντηση

Επιστροφή στο “PHP Προγραμματισμός”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης