Как защититься от извращений в адресной строке?

[Romantik]

DVA твой способ хорош только для ламеров. Психология твоего способа заключается в том. что расслабляются булки и происходит удивление, когда в базе не то. Типа нафик безопасность и логи , если мой скрипт не даст изменить параметры. А потом.... у какие бывают хакеры...
Коенчно придумать идиальный способ- революция!
Но нужно расчитывать, что ломающий- профи! Хотя....
Стоимость данных или конкурентность должна привлечь профи... иначе интереса нет. С этой точки зрения способ хорош!
ЗЫ ИМХО

 

[Rynor]

а почему ваще скрипт должен матюгаться?
проверили параметры, если неверные, работаем по-умолчанию для пустой QUERY_STRING

 

[Чих-пых]

2 RomikChef:
я наверное чего-то недопонимаю, но как может защитить твой скрипт if (!($var=intval($var))) print "Something goes wrong "; например от такого:

по умолчанию URL такой: smth.php?var=10
а пользователь возьмёт, да и напишет: smth.php?var=11
и попадёт в следующий раздел платного порносайта, заплатив только за №10

А вот скрипт DVA хоть как-то от этого защищает, хотя, конечно, нетрудно самому MD5 посчитать.

 

[Romantik]

Автор оригинала: Чих-пых
2 RomikChef:
я наверное чего-то недопонимаю, но как может защитить твой скрипт if (!($var=intval($var))) print "Something goes wrong "; например от такого:

по умолчанию URL такой: smth.php?var=10
а пользователь возьмёт, да и напишет: smth.php?var=11

HTTP_REFERER
А если юзер и это может обходить, то ему тогда пофиг все остальное.

и попадёт в следующий раздел платного порносайта, заплатив только за №10

А если так организовывать платный сайт, то лучше по другому деньги зарабатывать

 

[RomikChef]

реферер тут не при чем.
МД5 - тоже.

Чих-пых, Романтик прав. платные сайты защищают не так.
Есть сессия. В которой написано, куда можно, а куда нелльзя.
У меня есть сайт, где мемберы редакрируют информацию.
в чужую не залазят, хотя ид новости, например, передается гетом.

Все, я устал, варитесь тут сами.
Хотите всякие хеши строить - да хоть обстройтесь.
Правда, из МД5, выковырять то, что туда было заковырено, не получится, ну да вы справитесь - трудностей не боитесь...

 

[AnToXa]

читаю читаю... устал...
весь отдых себе блин испортил прочтением данного топика
какой - то бред несете...

тебе просто надо написать модуль авторизации с дазбитием по группам и разделением доступа между ними... и все.
Ну по необходимости можно навесить всякие приоритеты и т.п.

у меня есть такая штука - переписывал mod_auth_mysql + админка на пхп для нее... как вернусь в новосибирск могу продать

 

[Чих-пых]

Ну про платные порно сайты это я в шутку сказал, а вы серьёзно восприняли

 

[Larson]

Самый лучший способ защитится от изврашений в адресной строке - это ничего там не передовать!!!

 

[Unregistered]

To: Larson ещё раз - как передать малый объём данных в другой домен на другой машине ? Я так понимаю только GET или POST ? Реферер подменить - это даже я умею, а вот как сломать хэш не зная ключа и порядка шифровки - не знаю. Только не надо про защищённые протоколы - это уже совсем другой уровень и задач и их решений.

To: RomikChef а зачем что-то выковыривать ? Это же просто некий аналог бита чётности, или ещё ближе - CRC которое считают архиваторы для проверки целостности архива.

Посчитать самому хэш не получиться - кто просмотрел мой код заметил,что кроме передаваемых данных в хэш засунут "мусор" - а если знаешь его, значит уже сломал
Сессии - это хорошо, но... как передать сессию в другой домен на другой машине ?

В общем,я уже понял что решение видимо не лучшее - но вполне реальное. И работоспособное. Т.е. менять уже работающий код из соображений безопасности не стоит, правильно ?

DVA.