php: wie absenden von formular bestimmen?

Seite 1 von 1 - Forum: Coding Stuff auf overclockers.at

URL: https://www.overclockers.at/coding-stuff/php_wie_absenden_von_formular_bestimmen_110370/page_1 - zur Vollversion wechseln!


semteX schrieb am 22.03.2004 um 20:57

Tja so simpel :D aber meine frage dazu:

Wie kann ich checkn ob ein formular abgeschickt wurde? bislang machte ich es imma so: unten ne hidden variablen namens <input type='hidden' name='abs' value='1'>
und dann oben

if($_POST["abs"]==1)
{
...
}

nur i mein das kannst ja sehr einfach als aussenstehender umwandern...

wie machts ihr das imma?

mfg


mat schrieb am 22.03.2004 um 20:59

Code: PHP
<?php

if (isset($myhiddenvar)) // wenn register_globals on
{
   // formular wurde submitted
}

?>

<html..
<form ..>
<input type="hidden" name="myhiddenvar">
</form>


DKCH schrieb am 22.03.2004 um 21:02

warum leicht zu umgehen? sonst machst halt a uniqid, speicherst die und vergleichst dann mit der.


semteX schrieb am 22.03.2004 um 21:03

also same wie bei mir.. mhm...

i mein rein theoretisch könnt ma ja von jeder x beliebign seitn dann "in" den "formular abgesendet" bereich... mhm... i mein wenns was sensibles ist macht ma eh noch nen richtign check... ob alles ausgefüllt wurde...

so mein ich das:

Code: PHP
<form name='blahr' action='http://www.overclockers.at' method='post'>
<input type='hidden' name='secretvar'>
<input type='submit'>
</form>

so könnt ma das ja z.b. umgehen...


manalishi schrieb am 22.03.2004 um 21:09

naja.
ich prüfe meistens einfach einfach ziemlich konservativ....

html output:
<form method="post">barcode: <input type="text" name="barcode"></form>

php:
<?
if(is_numeric($_POST["barcode"])
{
blah...
}
?>

für strings und dergleichen (was bei db-queries eben unkritisch ist) verwend ich meistens nur die fkt. isset($var)


<html>
<body>
<pre>
<?
if(isset($_POST) && count($_POST)>0)
print_r($_POST);
?>
</pre>
<form method="post">
<input type="text" name="blah">
<input type="submit" name="lalala">
</form>
</body>
</html>


gerade mit mozilla getestet. auch wenn kein einziger wert eingetragen wurde, sind alle im post-array zu sehen. probier einfach damit herum...


dio schrieb am 22.03.2004 um 21:47

hi,

wie wärs mit am referer check? wenn absender adresse ned die gleiche datei is, gibts a error msg :)

mfg


Rektal schrieb am 22.03.2004 um 21:56

Wie waers mit, Referer kann man abdrehen oder wird von manchen Proxies nicht mitgenommen oder gibts bei verlassen von HTTPS-Seiten nicht usw.

Eins klar, wenn $_SERVER['REQUEST_METHOD'] == 'POST' oder eben einer der $_POST[*]-Variablen gesetzt ist, war es ein Post.

Obs von _deiner_ Seite kommt, unsecure Referer pruefen oder eben pruefen ob Session existiert und deine vorherigen Werte drinnenstehen.


dio schrieb am 22.03.2004 um 22:01

Zitat von Rektal
Wie waers mit, Referer kann man abdrehen oder wird von manchen Proxies nicht mitgenommen oder gibts bei verlassen von HTTPS-Seiten nicht usw.

Eins klar, wenn $_SERVER['REQUEST_METHOD'] == 'POST' oder eben einer der $_POST[*]-Variablen gesetzt ist, war es ein Post.

Obs von _deiner_ Seite kommt, unsecure Referer pruefen oder eben pruefen ob Session existiert und deine vorherigen Werte drinnenstehen.
hi,

denk ned dass er a ssl verschlüsselung verwenden wird, was ich bis jetzt von dem projekt weiß.

Zitat
Wie waers mit, Referer kann man abdrehen oder wird von manchen Proxies nicht mitgenommen

da es intern verwendet wird denk ich ned dass einer der clients des abdreht hat!

mfg


Rektal schrieb am 22.03.2004 um 22:23

Es waere besser das dem urspruenglichem Poster zu sagen, denn soweit ich sehe hat er das nicht erwaehnt ;)


semteX schrieb am 22.03.2004 um 22:55

nein nix ssh, keine proxys oder ähnliches mhm.

i mein "so" gefährdet ist das ding eh ned, dass es solche schutzmechanismen bedürfte. nur es hätt mich mal interessiert ob ich der einzige bin der das so "pfuscherlike" mit am hidden field mach..


mat schrieb am 23.03.2004 um 01:22

geh, es gibt so allgemeine methoden..

und diese

Zitat
wie wärs mit am referer check? wenn absender adresse ned die gleiche datei is, gibts a error msg
is mit der kirche ums kreuz

und diese
Zitat
nur i mein das kannst ja sehr einfach als aussenstehender umwandern...
is wie eine radeon 9800 pro für counterstrike, einfach "zuviel des guten".


moidaschl schrieb am 08.04.2004 um 14:10

machs so wie mat und dann, wenns sicher sein muss, einfach noch ein input field mit an passwort!
des verknüpfst dann mit logisch AND, und passt scho




overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2026