Serverside client verificatie

Veel zal dat niet helpen.
Als ik dit form zou willen misbruiken, copy/paste ik de broncode.
Als die key constant blijft, ben je er niets mee.

Wat al meer zou helpen, is die key random te laten genereren en die in een session variabele te steken.

Bij het versturen, vergelijk je of de hidden value overeen komt met de session variabele.

Basically is dit een soort Captcha, waarbij de code automatisch al ingevuld is.

Ik dacht dat er een soort functie was in PHp die kan zien waarvan de $_POST en $_GET data komt

Verder hoef je niet eens een input type="hidden" te gebruiken.
Het is nog vele malen veiliger om niet eens een code in de HTML bron te laten komen
Je kunt beter een sessie aanmaken bij het bezoeken van het formulier en deze vullen met een geheime code die in de database staat en soms verandert
bij het submitten van het formulier kun je dan de sessie met de code vergelijken met wat in de database staat.

Ja, dat was dus mn punt, daarom zoek ik een veiligere manier.

Ah, dat is inderdaad hoe ik het vroeger deed! Thanks voor het opfrissen van mn geheugen wat dat betreft, dat zal ik sowieso weer toepassen.

Andere mogelijkheden en opinies zijn welkom!

EDIT: @Jan, die functie zou enorm handig zijn :).

Helaas ik heb gezocht en zie dat het niet mogelijk is om een $_POST of $_GET variabele te controleren op herkomst.

Kijk eens:

<?php
session_start();
if($_SERVER['REQUEST_METHOD'] === 'POST') {
if(isset($_SESSION['key']) && isset($_POST['key']) && $_POST['key'] === $_SESSION['key']) {
echo 'Yippi !<br/>';
echo 'mytext: ' . htmlentities($_POST['mytext']);
// hier kan je de post verder afhandelen
}
else {
echo 'not Yippi !';
}
// header('location: ?');
}
$_SESSION['key'] = md5(rand(0, 100000));
echo '
<html>
<head></head>
<body>
<title>Serverside client verificatie</title>
<form action="" method="post">
<input type="hidden" value="' . $_SESSION['key'] . '" name="key"/>
<input name="mytext"/>
<input type="submit" value="GO"/>
</form>
</body>
</html>
';
?>

Dit is het simpelste voorbeeld, zoals ik uitlegde. Dit is niet waterdicht, maar probeer dit zelf maar eens te breken (kopieer de broncode, sla die op in een .htm bestandje, verander de action naar de effectieve url in de url-balk, open het bestand in een andere soort webbrowser, ...)

Tot men hier met de betere tools afkomt (want die zijn er uiteraard), heb je iets.

Not Yippi xD Leuk in elkaar gezet, zag het al wel voor me maar iig bedankt voor het voorbeeld :P.

Ik kan me herinneren dat fuelPHP hier ook een goede oplossing voor had, die ga ik straks eens even opzoeken.

Kijk eens naar de globale variabel $_SERVER, en dan wel HTTP_REFERER. Dat is denk ik wat je zoekt!

Succes :-)

Wat Jan voorstelt, is trouwens niet zo verschillend dan wat ik doe.
Wat je moet aanpassen:
- Je genereert die zelfde random string.
- Je slaat die string op in de database. Zie dat je de id van dit record te pakken krijgt (bv. met mysql_insert_id() )
- Je geeft die id mee in de hidden input

- Bij het controleren: $_POST['key'] is nu de id van het record. Met die id zoek je dus dat record op, die opgeslagen waarde vergelijk je met $_SESSION['key']

Hiermee omzeil je het wat. Je geeft niet de effectieve code mee naar de gebruiker, maar slechts een id.

[quote=]
The address of the page (if any) which referred the user agent to the current page. This is set by the user agent. Not all user agents will set this, and some provide the ability to modify HTTP_REFERER as a feature. In short, it cannot really be trusted.
[/quote]

Thnx Roel, maar zoals de site aangeeft is het wel mogelijk deze variabele in sommige gevallen te manipuleren. Dit is wel nuttig, maar dus niet waterdicht. Thnx voor het extra inzicht :).

Kris, je bedoelt dus dat ik voor elk form een nieuwe key genereer die ik in de database gooi en waarvan ik de key meegeef. I guess that would work! Maar wel net wat heavier on the resources. Lijkt me wel de beste optie tot nu toe :).