/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
HTTP_REFERER
Fra : Leonard


Dato : 20-03-06 09:55

Hvor sikker er HTTP_REFERER ?
Jeg tænker på at bruge den som beskyttelse mod mail-injection af
formularer. Så virker det godt nok ikke for dem, der har slået det fra
i browseren og det ved jeg ikke om er et reelt problem?
Men hvis den kan fakes, så er der jo heller ikke noget vundet ved det.


--
Leonard
http:/leonard.dk/hjemmeside/

 
 
Henrik Hansen (20-03-2006)
Kommentar
Fra : Henrik Hansen


Dato : 20-03-06 09:59

Leonard <usenet@leonard.dk> writes:

> Hvor sikker er HTTP_REFERER ?
> Jeg tænker på at bruge den som beskyttelse mod mail-injection af
> formularer. Så virker det godt nok ikke for dem, der har slået det fra
> i browseren og det ved jeg ikke om er et reelt problem?
> Men hvis den kan fakes, så er der jo heller ikke noget vundet ved det.

Det ville jeg ikke bruge, som den eneste tjek. Som du siger det kan
slåes fra og det er meget let at fake, hvis man finder ud af det er
det eneste der bruges som tjek.

Du kan i stedet lave en hash (md5 eks.) af et eller andet, måske deres
ip + en constant du kun kender værdien på. Derved kan du tjekke om den
rigtige hash er sendt med formularen og om der er sendt en med i det
hele taget. Det er hvert fald mere brugbart vil jeg mene end refereren.

--
Henrik Hansen

Peter Brodersen (20-03-2006)
Kommentar
Fra : Peter Brodersen


Dato : 20-03-06 11:21

On Mon, 20 Mar 2006 09:54:56 +0100, Leonard <usenet@leonard.dk> wrote:

>Hvor sikker er HTTP_REFERER ?

Det er den ikke, og den fakes godt og grundigt af mange scripts, der
forsøger at udnytte forms.

--
- Peter Brodersen
Find dig selv: http://map.ter.dk/

Erik Ginnerskov (21-03-2006)
Kommentar
Fra : Erik Ginnerskov


Dato : 21-03-06 00:03

Leonard wrote:
> Hvor sikker er HTTP_REFERER ?
> Jeg tænker på at bruge den som beskyttelse mod mail-injection af
> formularer.

> Men hvis den kan fakes, så er der jo heller ikke noget vundet ved det.

Jeg har et par scripts liggende. De benytter andre teknikker til at sikre
sig mod injection:

http://hjemmesideskolen.dk/scripts/phpmail.php
http://hjemmesideskolen.dk/scripts/phpmailc.php

Jeg har selv kedelig erfaring med at ville beskytte mig via logning af
afsenders IP - den er alt for let at fake.

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk - http://ginnerskov.dk
http://html-faq.dk/



Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408938
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste