作者PTTLSboy (阿铯)
看板PHP
标题[请益] 资料库处理可以写在同一个.PHP吗?
时间Fri Aug 10 10:56:45 2012
请问各位前辈们
我将会员新增、修改、删除等等的资料库处理写进db_process.php
至於要做什麽事情用$_GET判断action要做什麽(ex: db_process.php?action=会员新增
但是这样有资安的问题在,谁都可以进这个db_process.php
即使我加入session的判断也没用,因为他只要来我的网站就可以取得session
然候自己再做一个简单的HTML表单会员新增 <from action='我的网址/db_process.php'>
点击後连到我的db_process.php,session那关它也通过了
请问各位前辈,有什麽解法吗?
还是新增、修改等等处理全都写在同一个db_process.php的写法不对
谢谢看完!!
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 220.128.117.43
1F:推 KawasumiMai:不能用GET,要用POST 08/10 11:05
2F:→ KawasumiMai:送出的按钮type=submit没错,但是id可以不用是submit 08/10 11:06
3F:→ KawasumiMai:修改按钮的id设定edit 新增按钮的id设定add 08/10 11:06
4F:→ KawasumiMai:自然就可以在里面判断if(isset($_POST[add]){ 08/10 11:07
5F:推 Fantasywind:无解,只要你没有帐密验证 随便人你可以不要发session 08/10 11:20
6F:→ Fantasywind:K大 用POST我也可以自己送一样的东西给他阿 08/10 11:20
7F:→ bibo9901:如果此次操作资料库是合法的, 你又有什麽理由档他? 08/10 11:22
8F:→ KawasumiMai:应该有一些方法防护,但是跟骇客间的攻防是无止尽的 08/10 11:31
9F:→ KawasumiMai:POST就一般使用者来说已经不太能知道变数名称了 08/10 11:32
10F:→ KawasumiMai:有心人可能可以从中拦截,然後sql也得加函数防护 08/10 11:33
11F:→ KawasumiMai:再加上键盘侧录和字典搜索,恩... 08/10 11:33
12F:推 KawasumiMai:另外还有一招是你的POST加密储存,读取时解密 08/10 11:36
13F:→ KawasumiMai:当sql判定的都是加密文字时,单纯的想送fake post 08/10 11:36
14F:→ KawasumiMai:没有做加密动作,比对就会失败 08/10 11:36
15F:→ KawasumiMai:当然你也可以说...常用的加密法就那几种... 08/10 11:38
16F:推 Fantasywind:对阿永远只能防君子 08/10 21:33
谢谢各位大大的回答呀~
to fan:因为是做会员注册的,所以没办法判断是不是随便的人
to bio:怕被机器人一直新增资料,因为直接进来就不会被图形辨证了
to kaw:对方可以在我的注册页原始码复制一样的表单,name也都拿到了
看来加密是相对好一点的方法:)
※ 编辑: PTTLSboy 来自: 123.0.232.61 (08/10 22:24)
17F:推 KawasumiMai:新増要验证码。修改要输入原密码。登入猜密码。 08/11 02:15
18F:→ KawasumiMai:其实就算不加密。要破解也不容易。真取得密码通过 08/11 02:17
19F:推 KawasumiMai:SESSION的话。其实他也不用自己建form了。用你的就好 08/11 02:19
20F:推 Fantasywind:注册可以用email验证,ip锁定,图形验证码等等 08/11 07:26
21F:推 ChowMein:图形验证码会被跳过是程式没写好吧? 08/11 08:31
22F:→ arrack:要考虑到没显示图片的情况,以及重复送出 08/11 09:14
23F:→ arrack:某些栏位的名称,可以每次都随机 08/11 09:14
24F:推 JeffMcBride:每个资料处理动作都要使用者token且绑定使用者资讯 08/11 11:58
谢谢各位,我的问题解决了!!
※ 编辑: PTTLSboy 来自: 123.0.232.61 (08/11 13:14)