[PHP] Form referrer: controleren ?

Ik zou me hier niet te druk over maken, maar als je wil kun je idd kijken naar de referrer met een include ofzow, komt ie van een gode referrer laat je alles doorgaan anders doe je een redirect naar een of andere fout pagina

Je moet natuurlijk altijd je gegevens die je via post of get binnenkrijgt controleren of ze wel voldoen aan je 'voorwaarden'!

denk hierbij aan:
• controleren of variabele van het goede type is (is_numeric(), is_Array(), etc)
• voordat je db-queries uit ga voeren met de data *altijd* quotes escapen
• controleren of waardes voldaan aan je voorwaarden (lengte van string, hoogte van een getal, etc)

[ Voor 59% gewijzigd door thomaske op 03-01-2003 10:57 ]

In je formulier (en sessie/database) een dynamische waarde plaatsen en die controleren in je database/sessie.

Echt helpen doet het trouwens niet, maar het maakt het wel iets moeilijker.
Opzich maakt het ook niet uit dat data toegevoegd wordt, dit kan je prima negeren door de entries gewoon niet te gebruiken

Verwijderd schreef op 03 januari 2003 @ 11:12:
[...]
Ja, dit doe ik al allemaal addslashes() is toch genoeg om de quotes te escapen?

En nog iets: bepaalde velden moeten ingevuld worden, andere velden zijn optioneel. Hoe zou ik dit checken? Dmv een javascript? Of pas later als de data gesubmit is ?

Het best zou zijn als je dat met php doet, dan kan de gebruiker er namelijk niet meer omheen, je zet je gegevens pas in je DB als ze allemaal kloppen.

Het is misschien wel minder gebruikers vriendelijk, omdat de gebruiker steeds moet submitten en wachten tot je form goedgekeurd is.

Toch zou ik gaan voor de php variant, meestal gebruik ik dan een andere kleur "label" voor het verkeerd ingevulde veld.

Verwijderd schreef op 03 January 2003 @ 11:12:
[...]
En nog iets: bepaalde velden moeten ingevuld worden, andere velden zijn optioneel. Hoe zou ik dit checken? Dmv een javascript? Of pas later als de data gesubmit is ?

Allebei! Javascript voor de gebruiksvriendelijkheid en php om de waardes alsnog te controleren

Verwijderd schreef op 03 januari 2003 @ 11:12:
[...]
Ja, dit doe ik al allemaal addslashes() is toch genoeg om de quotes te escapen?

En nog iets: bepaalde velden moeten ingevuld worden, andere velden zijn optioneel. Hoe zou ik dit checken? Dmv een javascript? Of pas later als de data gesubmit is ?

javascript is voor de gebruiker makkelijker, omdat hun browser dan niet hoeft te refreshen, maar echt fail proof is het niet.

Beide is dan idd de beste optie

Je kan natuurlijk ook het bouwen van een formulier in een functie laten gebeuren.

In dit formulier (in die functie) zet je bijvoorbeeld standaard

<input type="text" name="blah" value="$blah">

Bij het submitten, als je controle failed, dan nog een keer het formulier weer laten bouwen door de functie (alleen voor fileuploads werkt dit niet). En dan zijn de waarden alvast weer ingevuld.

Verwijderd schreef op 03 January 2003 @ 13:17:
Bij het viewen van het form een waarde maken en in dbase gooien, en vervolgens bij het posten van het form checken of de waarde nog bestaat: zo ja: vervolg, zo nee: error ?

Ja, inderdaad.
Met sessies is het nog iets handiger, dan kan je gewoon het sessieid erin proppen, die blijft de hele sessie gelijk en hoef je dus niet eens (apart) te controleren verder in je db.

Verwijderd schreef op 03 January 2003 @ 15:38:
[...]
Hmm, ok, maar iemand anders zou dit form op kunnen vragen: daarin staat het session_id.

Page maken op een andere server die ook een session begint, met het session_id dat je uit het form hebt gehaald. Zo kun je nog vanaf een andere server posten/spammen ? Of deze methode icm. http_referrer ?

Dan voeg je het IP adress, je domainnaam en een "secretcode" toe aan je session_id en hash je de boel met MD5. Bijvoorbeeld.