PHP/MySQL | GET
EseninLive 
Dark_AKC (18.06.2015 в 20:33)
Вилы_Выкидные (18.06.2015 в 20:30)
BLOOD (18.06.2015 в 20:06)
Возможно ли сделать запрет,когда передаем айди например:
сайт/файл.php?id=4
Что бы пользователь не мог сменить через браузер айди в адресной строке)
можно, нужно GET метод заменить на метод POST
<form action="файл.php" method="POST" name="forma1">
<input name="id" type="hidden" value="4">
</form>
<a href="тут можно писать, что угодно" OnClick="forma1.submit();return false;">Ссылка</a>
а что помешает исправить форму?
Вилы_Выкидные (18.06.2015 в 20:30)
BLOOD (18.06.2015 в 20:06)
Возможно ли сделать запрет,когда передаем айди например:
сайт/файл.php?id=4
Что бы пользователь не мог сменить через браузер айди в адресной строке)
можно, нужно GET метод заменить на метод POST
<form action="файл.php" method="POST" name="forma1">
<input name="id" type="hidden" value="4">
</form>
<a href="тут можно писать, что угодно" OnClick="forma1.submit();return false;">Ссылка</a>
а что помешает исправить форму?
то, что формы нет, переменные передаются методом POST, а значение переменной скрыто hidden
________
посл. ред. 18.06.2015 в 20:37; всего 1 раз(а); by Вилы_Выкидные
elbit Rabbyte (18.06.2015 в 20:30)
BLOOD (18.06.2015 в 20:23)
VarrkaN (18.06.2015 в 20:17)
BLOOD, с ума сошёл доверять пользователю работу по ID из $_GET? Выборка из БД есть? Добавь туда ID пользователя и по нему работает пусть, в крайнем случае в $_SESSION загони его ID, но не гет и пост...
В таблице users есть (как всегда колонка id) ,и в скрипте нужно как то с файла в файл передавать безопасно ID))Куда добавить айди пользователя?
$id = intval($_GET['id']);
вся безопасность.
BLOOD (18.06.2015 в 20:23)
VarrkaN (18.06.2015 в 20:17)
BLOOD, с ума сошёл доверять пользователю работу по ID из $_GET? Выборка из БД есть? Добавь туда ID пользователя и по нему работает пусть, в крайнем случае в $_SESSION загони его ID, но не гет и пост...
В таблице users есть (как всегда колонка id) ,и в скрипте нужно как то с файла в файл передавать безопасно ID))Куда добавить айди пользователя?
$id = intval($_GET['id']);
вся безопасность.
Ща пробну,просто все до ограничения использовал теперь не интернет а дерьмо пока загрузит isp...
Kaito, в каждом браузере можно посмотреть какие запросы куда отправляются
Вилы_Выкидные, а выше че у тебя там за форма тогда?
В любом случае все данные передаваемые через get, post, session. cookie, server можно заменить
________
посл. ред. 18.06.2015 в 20:45; всего 1 раз(а); by Dark_AKC
В любом случае все данные передаваемые через get, post, session. cookie, server можно заменить
________
посл. ред. 18.06.2015 в 20:45; всего 1 раз(а); by Dark_AKC
Саня (18.06.2015 в 20:35)
BLOOD (18.06.2015 в 20:14)
shadrvlad (18.06.2015 в 20:07)
это запретить нельзя, но можно не принимать просто значения кроме определенного и все
Ну у меня такой скрипт я передаю id допустим в файл test.php,и принимаю evo там, и получается сайт/test.php?id=4 и в том файле исполняю действия над пользователем под айди 4,если пользователь сменит айди на 5 то будет исполнять над тем пользователем...Что можно замутить?
if($user['id']!=$_GET['id']){
?>
Некуй тут тебе делать хацкер типа
<?
exit();
}
BLOOD (18.06.2015 в 20:14)
shadrvlad (18.06.2015 в 20:07)
это запретить нельзя, но можно не принимать просто значения кроме определенного и все
Ну у меня такой скрипт я передаю id допустим в файл test.php,и принимаю evo там, и получается сайт/test.php?id=4 и в том файле исполняю действия над пользователем под айди 4,если пользователь сменит айди на 5 то будет исполнять над тем пользователем...Что можно замутить?
if($user['id']!=$_GET['id']){
?>
Некуй тут тебе делать хацкер типа
<?
exit();
}
:D Норм пробну))Спасибо...
автор, а что ты делаешь с полученным идом?
Saw
Dark_AKC (18.06.2015 в 20:40)
Вилы_Выкидные, а выше че у тебя там за форма тогда?
В любом случае все данные передаваемые через get, post, session. cookie, server можно перехватить и заменить
Вилы_Выкидные, а выше че у тебя там за форма тогда?
В любом случае все данные передаваемые через get, post, session. cookie, server можно перехватить и заменить
вопрос в первом посте - как отправить переменную, чтобы нельзя было подменить её в адресной строке.
Я дал ответ.
Rabbyte (18.06.2015 в 20:43)
автор, а что ты делаешь с полученным идом?
автор, а что ты делаешь с полученным идом?
Принимаю и по айди использую даные по том айди минусую и т.д. То есть если подменить то есть возможность хакнуть сайт на монеты :D
Делай запрос с этим ид. Если запрос вернет false, значит записи нет
Саня (18.06.2015 в 20:35)
BLOOD (18.06.2015 в 20:14)
shadrvlad (18.06.2015 в 20:07)
это запретить нельзя, но можно не принимать просто значения кроме определенного и все
Ну у меня такой скрипт я передаю id допустим в файл test.php,и принимаю evo там, и получается сайт/test.php?id=4 и в том файле исполняю действия над пользователем под айди 4,если пользователь сменит айди на 5 то будет исполнять над тем пользователем...Что можно замутить?
if($user['id']!=$_GET['id']){
?>
Некуй тут тебе делать хацкер типа
<?
exit();
}
BLOOD (18.06.2015 в 20:14)
shadrvlad (18.06.2015 в 20:07)
это запретить нельзя, но можно не принимать просто значения кроме определенного и все
Ну у меня такой скрипт я передаю id допустим в файл test.php,и принимаю evo там, и получается сайт/test.php?id=4 и в том файле исполняю действия над пользователем под айди 4,если пользователь сменит айди на 5 то будет исполнять над тем пользователем...Что можно замутить?
if($user['id']!=$_GET['id']){
?>
Некуй тут тебе делать хацкер типа
<?
exit();
}
$oggy = mysql_query("SELECT * FROM `users` WHERE `id` = '".abs(intval($_GET[id]))."' LIMIT 1");
$og = mysql_fetch_array($oggy);
if($og['id']!=$_GET['id']){
?>
echo '<div class="menu"><b> Некуй тут тебе делать хацкер типа</b> /div>';
<?
exit();
}
вот так сделал но что то не совсем)