اطلاعیه

Collapse
No announcement yet.

آدرس فرستنده دادهها (post) در php

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • آدرس فرستنده دادهها (post) در php

    سلام
    توی PHP چطور میشه فهمید داده هایی که به http://x.com/index.php فرستاده شدن (از طریق فرم HTML) از چه آدرسی فرستاده شده؟
    یعنی اون فرم HTML روی چه آدرسیه؟!

  • #2
    referer header

    Comment


    • #3
      توی PHP این رو تو صفحه گیرنده چاپ کنین :

      $_SERVER['HTTP_REFERER']
      امّا بروزرها همیشه به این راحتی این اطلاعات رو هم نمیفرستن
      فرضا معمولا وقتی شما از http به https آدرس فرستنده رو گرفته نمیشه و ..
      این نام کاربری متعلق به آقای حسین عسگری نیست .
      جهت یادآوری : هیچ موقع دست از انتقاد سازنده (نه مخرب) به عنوان یک متخصص دست برندارید چراکه همه ی ما نسبت به کشورمون مسئولیم ، نباید اجازه داده بشه یه سری افراد بنام کارهای مفید برای کشور،سرمایه های کشور رو بالا بکشن ، از جمله میلیارد ها میلیارد پول که به افرادی داده میشه که لیاقت و شایستگی تولید نرم افزار یا کارهای امنیتی ندارن وعملا به باد میره .

      Comment


      • #4
        منظورم یه پارامتر هست که قابل تغییر نباشه
        referer با هدر فرستاده میشه و قبل از ارسال میشه تغییرش داد

        Comment


        • #5
          این مقدار رو بروزر میفرسته که قابل تغییره . راه دیگه ای نداره .
          sigpic

          Comment


          • #6
            Remote_addr

            بعضي وقتا شريک تمام خاطراتت فقط يه شماره ى خاموشه

            Comment


            • #7
              بر اساس یک توکن می تونی بفهمی.
              به صورت خاص تابع یا مقداری نیست باید مکانیزم مثل CSRF token تولید کن.
              خیلی هم راحته

              Comment


              • #8
                نوشته اصلی توسط r3d.w0rm نمایش پست ها
                Remote_addr
                نه عزیزم این برای گرفتن آیپی یوزر هست نه دامینی که از طریق اون وارد سایت شده !

                نوشته اصلی توسط Sc0rpioN نمایش پست ها
                بر اساس یک توکن می تونی بفهمی.
                به صورت خاص تابع یا مقداری نیست باید مکانیزم مثل CSRF token تولید کن.
                خیلی هم راحته
                عزیزم اون مکانیزمی که شما میگی مال وقتیه که کاربر از همون دومین باشه ،
                هیچ مکانیزمی نمیشه درست کرد ، تنها راهشم http refer هست.
                این نام کاربری متعلق به آقای حسین عسگری نیست .
                جهت یادآوری : هیچ موقع دست از انتقاد سازنده (نه مخرب) به عنوان یک متخصص دست برندارید چراکه همه ی ما نسبت به کشورمون مسئولیم ، نباید اجازه داده بشه یه سری افراد بنام کارهای مفید برای کشور،سرمایه های کشور رو بالا بکشن ، از جمله میلیارد ها میلیارد پول که به افرادی داده میشه که لیاقت و شایستگی تولید نرم افزار یا کارهای امنیتی ندارن وعملا به باد میره .

                Comment


                • #9
                  چه ربطی به domain داره؟ با application پیاده سازی مشه یک مقدار خاص برای هر درخواست توی Session ذخیره میشه
                  بعد با هر درخواست چک می شه.

                  Comment


                  • #10
                    نوشته اصلی توسط Sc0rpioN نمایش پست ها
                    چه ربطی به domain داره؟ با application پیاده سازی مشه یک مقدار خاص برای هر درخواست توی Session ذخیره میشه
                    بعد با هر درخواست چک می شه.
                    اگه session حذف بشه چی؟
                    اگه کوچیکه بدنه کدشو بزار
                    ممنون

                    Comment


                    • #11
                      نوشته اصلی توسط Sc0rpioN نمایش پست ها
                      چه ربطی به domain داره؟ با application پیاده سازی مشه یک مقدار خاص برای هر درخواست توی Session ذخیره میشه
                      بعد با هر درخواست چک می شه.
                      عجب! شما دیگه چرا ؟
                      عزیزم ایشون میخواد آدرسی که یوزر از اون اومده به سایتش رو بررسی کنه ..
                      اون آدرس ممکنه هر دومینی باشه ، شما چطور میخوای اونو بگیری بجز refer ?
                      این نام کاربری متعلق به آقای حسین عسگری نیست .
                      جهت یادآوری : هیچ موقع دست از انتقاد سازنده (نه مخرب) به عنوان یک متخصص دست برندارید چراکه همه ی ما نسبت به کشورمون مسئولیم ، نباید اجازه داده بشه یه سری افراد بنام کارهای مفید برای کشور،سرمایه های کشور رو بالا بکشن ، از جمله میلیارد ها میلیارد پول که به افرادی داده میشه که لیاقت و شایستگی تولید نرم افزار یا کارهای امنیتی ندارن وعملا به باد میره .

                      Comment


                      • #12
                        نوشته اصلی توسط hamedany نمایش پست ها
                        اگه session حذف بشه چی؟
                        اگه کوچیکه بدنه کدشو بزار
                        ممنون
                        session سمت سرور امکان نداره حذف بشه, سمت browser هم اگه بشه شما می تونی request رو نا معتبر فرض کنی و process رو متوقف کنی.

                        Comment


                        • #13
                          نوشته اصلی توسط Sc0rpioN نمایش پست ها
                          session سمت سرور امکان نداره حذف بشه, سمت browser هم اگه بشه شما می تونی request رو نا معتبر فرض کنی و process رو متوقف کنی.
                          یادش بخیر کلاس وب اپلیکیشن هکینگ وب آموز....

                          Comment


                          • #14
                            نوشته اصلی توسط hamedany نمایش پست ها
                            منظورم یه پارامتر هست که قابل تغییر نباشه
                            referer با هدر فرستاده میشه و قبل از ارسال میشه تغییرش داد
                            جالبه بحث هنوز دارید در مورد نحوه ی کنترل session صحبت میکنین

                            عزیزم که سوال کردی خودت میدونی دنبال چی هستی ؟ (من بعید میدونم)
                            شما پرسیدی که چطور میشه یه کاربر که میاد تو سایت فهمید از کدوم سایت (دومین دیگه) اومده درسته ؟
                            این کار جز با استفاده ی هدر refer امکان پذیر نیست ،
                            و هدر refer هم بخاطر اینکه توسط بروزر ست میشه و قابل تغییر هست ، ضمن اینکه خیلی جاها هم اصلا کار نمیکنه مثل http to https که اشاره کردم .

                            این بحث session و ذخیره کردن آدرس چه فاییده ای داره حالا ؟
                            شما در هر صورت اولش برای گرفتن دومینی که یوزر وارد سایت شده ، فقط و فقط میتونید از refer استفاده کنید

                            موفق باشید
                            این نام کاربری متعلق به آقای حسین عسگری نیست .
                            جهت یادآوری : هیچ موقع دست از انتقاد سازنده (نه مخرب) به عنوان یک متخصص دست برندارید چراکه همه ی ما نسبت به کشورمون مسئولیم ، نباید اجازه داده بشه یه سری افراد بنام کارهای مفید برای کشور،سرمایه های کشور رو بالا بکشن ، از جمله میلیارد ها میلیارد پول که به افرادی داده میشه که لیاقت و شایستگی تولید نرم افزار یا کارهای امنیتی ندارن وعملا به باد میره .

                            Comment


                            • #15
                              نوشته اصلی توسط hosssein نمایش پست ها
                              شما پرسیدی که چطور میشه یه کاربر که میاد تو سایت فهمید از کدوم سایت (دومین دیگه) اومده درسته ؟
                              نوشته اصلی توسط hamedany نمایش پست ها
                              سلام
                              توی PHP چطور میشه فهمید داده هایی که به http://x.com/index.php فرستاده شدن (از طریق فرم HTML) از چه آدرسی فرستاده شده؟
                              یعنی اون فرم HTML روی چه آدرسیه؟!
                              دوست ما به domain اشاره نکردن.
                              چون domain اگر عوض بشه سوال ایشون فقط محدود به referer میشه.
                              پس قضیه domain رو ما منتفی شده می دونیم زیرا بحث Same origin policy و و و پیش میاد که کلا بیخیال

                              اما اگه فرض کنیم که domain ثابت هست و من این جوری از سوالت متوجه شدم, حالا اینجا دو موضوع پیش میاد. اگر کار شما آمار گرفتن هست که کلا با همون referer کارت رو انجام بده بزار 1 نفر هم از هزار نفر عوض کنه referer رو. اگر بحث امنیتی هست, کلا نیازی به دونستن domain و URL نداری با همون مکانیزم TOKEN کارت رو درست کن.

                              مرسی

                              Comment

                              Working...
                              X