VanHelsing
Новичок
Навиду всегда одна страница, только отображает она разные вещи, в зависимости от того, какие POST-переменные в неё переданы...
-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Отправка переменной методом POST, в новое окно
- Автор темы VanHelsing
- Дата начала
hex
Новичок
Тогда не понятна суть вопроса. Ты же и так все решил? Вроде все сокрыто. В чем тогда проблема?
Кстати, а как ты ссылки на страницы будешь давать? Скажем один человек другому пересылает адрес страницы с понравившимся ему товаром. как быть?
А по поводу невидимости. Я на ушко скажу что скажем у меня браузер файрфокс и я тебе могу сказать что скажем с дом инспектором можно посмотреть что и куда передается.
VanHelsing
Новичок
А дальше всё через require_once ($_POST[...]) ну я думою система ясна...
VanHelsing
Новичок
Сайт для фирмы, на нём только стандартные (На Главную, О нас, Контакты).
Фирма предлогает услуги, и потенциальным клиентам предлогается заполнить форму с данными о своей фирме, чтоб моя фирма просмотрев эту форму могла решить, работать с потенциальным клиентом или нет...
Вот и получается, что в MySQL хранятся данные разных фирм, которые должны быть доступны только СВОИМ.
По нажатию кнопки "Подробнее", всплывает новое окно, которое одновременно является и версией для печати, и я не знал как отправить переменную через POST, так чтоб ID небыло видно в адресной строке...
Фирма предлогает услуги, и потенциальным клиентам предлогается заполнить форму с данными о своей фирме, чтоб моя фирма просмотрев эту форму могла решить, работать с потенциальным клиентом или нет...
Вот и получается, что в MySQL хранятся данные разных фирм, которые должны быть доступны только СВОИМ.
По нажатию кнопки "Подробнее", всплывает новое окно, которое одновременно является и версией для печати, и я не знал как отправить переменную через POST, так чтоб ID небыло видно в адресной строке...
Gorynych
Посетитель PHP-Клуба
VanHelsing
ааааааа!!!!!!!!!! Ну пожалуйста, только не это!!!!
ну хорошо, для примера такой скрипт:
еще раз повторяю: все, что отправляется методом POST может быть просмотрено как исходный (HTML) код страницы. Вы скрываете только данные из адресной строки (что в общем-то нормально), но НЕ БОЛЕЕ ТОГО.
Вы это понимаете?
ааааааа!!!!!!!!!! Ну пожалуйста, только не это!!!!
ну хорошо, для примера такой скрипт:
Код:
<?php
require_once('http://www.ya.ru');
?>Вы это понимаете?
hex
Новичок
Ничего не понимаю. Ладно давай так.
Таы делаешь форму на авторизацию. Логин и пароль. Нет регистрации. сам вбиваете пользователя и пароль ему даете. А потом логин и пароль пересылаете ему на емайл. Кнопка подробнее доступна только авторизованным.
if ($autorization==1){то есть кнопка подробнее} иначе нет ее и запроса к базе для нее.
Значит страница index.php (или без оной)
Заходит он по паролю нажимая субмит и передавая на эту же страницу данные. Так если метод пост то и не видно будет ничего в адресной строке.
А зачем в таком случае ID то передавать???
VanHelsing
Новичок
Не так!
<?php
$x=$_POST['переменная']
require_once(x);
?>
Узнать можно только поймав $_POST['переменная'], но есть вещи которые хранятся в сессии, а есть которые в MySQL. Получив только все вышеуказанные данные, можно открыть страницу.
И то, это не самые главные данные, по ним надо построить SQL запрос на неизвестную таблицу из БД, после чего можно уже получить то, что я хочу скрыть...
Я не сказал, что это не возможно, просто придётся пое...тся не на шутку...
<?php
$x=$_POST['переменная']
require_once(x);
?>
Узнать можно только поймав $_POST['переменная'], но есть вещи которые хранятся в сессии, а есть которые в MySQL. Получив только все вышеуказанные данные, можно открыть страницу.
И то, это не самые главные данные, по ним надо построить SQL запрос на неизвестную таблицу из БД, после чего можно уже получить то, что я хочу скрыть...
Я не сказал, что это не возможно, просто придётся пое...тся не на шутку...
VanHelsing
Новичок
Да потому что, в открывающемся окне всё зависит от этого ID, по нему складываются запросы SQL, и я хочу чтоб его небыло видно...
Но раз Вы говорите что POST переменные тоже поймать можно, то я уже и незнаю как сконструировать...
Но раз Вы говорите что POST переменные тоже поймать можно, то я уже и незнаю как сконструировать...
Gorynych
Посетитель PHP-Клуба
VanHelsing
а) видимость ВСЕХ анкет для сотрудников вашей фирмы / администрации сайта.
б) видимость только формы для заполнения анкеты + ,возможно, видимость собственной анкеты и данных для клиентов.
т.е. видимость данных, выбираемых из базы зависит от авторизации: этому пользователю можно то-то и то-то, а этому - только вот это.
но главное, не надо делать require_once непосредственно от переменных, передаваенмых любыми методами. Неважно GET или POST.
по-моему на самом деле Вам нужно совершенно не то, что Вы пытаетесь сделать а:
а) видимость ВСЕХ анкет для сотрудников вашей фирмы / администрации сайта.
б) видимость только формы для заполнения анкеты + ,возможно, видимость собственной анкеты и данных для клиентов.
т.е. видимость данных, выбираемых из базы зависит от авторизации: этому пользователю можно то-то и то-то, а этому - только вот это.
но главное, не надо делать require_once непосредственно от переменных, передаваенмых любыми методами. Неважно GET или POST.
VanHelsing
Новичок
Ок спасибо, у меня всё намного проще авторизацию проходят только сотрудники моей фирмы, а для "простых смертных" авторизация не предусмотрена, так что только категория а.
Буду думать...
Буду думать...
Gorynych
Посетитель PHP-Клуба
VanHelsing
ну так и показывайте заполненные анкеты ТОЛЬКО авторизованным пользователям, т.е. сотрудникам фирмы. И НЕ ПОКАЗЫВАЙТЕ не авторизованным пользователям.
т.е. все сводится к тому, чтобы вначале скрипта выводящего информацию по идентификатору проверить, авторизован ли пользователь? Если да - вывести информацию, если нет - написать "извините, у вас нет доступа к этой информации"
ну так и показывайте заполненные анкеты ТОЛЬКО авторизованным пользователям, т.е. сотрудникам фирмы. И НЕ ПОКАЗЫВАЙТЕ не авторизованным пользователям.
т.е. все сводится к тому, чтобы вначале скрипта выводящего информацию по идентификатору проверить, авторизован ли пользователь? Если да - вывести информацию, если нет - написать "извините, у вас нет доступа к этой информации"
VanHelsing, апплодисменты!
Может, редко сюда захожу, но _так_ не ржал уже давно.
Как говорится, АФФТАР ЖЖОТ!
Но кажется я понял!
Имена php-файлов скрываются от вампиров и оборотней, которые не должны их видеть в адресной строке дабы не навести на сайт порчу.
Само собой, от людей защищаться не стоит - куда нам DDOS, или вероятность выполнить не тот файл (думаю, спрашивать, разрешены ли на сервере fopen wrappers бессмысленно) - тут угроза глобальная!
Так что, hex, рациональность здесь не ищи. Нет её. Темным злым силам рациональное чуждо, как и борцам с ними.
Секретным двойным агентам, привыкшим подмешивать дезинформацию в отчеты, тут не справиться.
Лучше читай мануал про сессии, орфографический словарь и размещай на всех сайтах баннер Get Firefox.
Хвастаться футболкой с логотипом мозиллы не советую - Тони еще лет 5 назад такую сбацал (в то время это было прикольно).
В общем, "ПИЩЫТЕ ИСЧО" (С)!
Может, редко сюда захожу, но _так_ не ржал уже давно.
Как говорится, АФФТАР ЖЖОТ!
Но кажется я понял!
Имена php-файлов скрываются от вампиров и оборотней, которые не должны их видеть в адресной строке дабы не навести на сайт порчу.
Само собой, от людей защищаться не стоит - куда нам DDOS, или вероятность выполнить не тот файл (думаю, спрашивать, разрешены ли на сервере fopen wrappers бессмысленно) - тут угроза глобальная!
Так что, hex, рациональность здесь не ищи. Нет её. Темным злым силам рациональное чуждо, как и борцам с ними.
Секретным двойным агентам, привыкшим подмешивать дезинформацию в отчеты, тут не справиться.
Лучше читай мануал про сессии, орфографический словарь и размещай на всех сайтах баннер Get Firefox.
Хвастаться футболкой с логотипом мозиллы не советую - Тони еще лет 5 назад такую сбацал (в то время это было прикольно).
В общем, "ПИЩЫТЕ ИСЧО" (С)!