Benim form güvenli midir?

4 Cevap php

Ben bir adım 4 formu süreç var.

  1. form.php
  2. validation.php
  3. review.php
  4. complete.php

Form.php mesaj doğrulama bağlı form.php veya review.php ya geri yönlendirir hangi validate.php için. Son adım complete.php olduğunu

Her sayfa OTURUM değişkenler oluşturulur nerede ve sonra arayarak https form.php veya review.php geri yönlendirir validate.php dışında HTTPS ile denir.

Tarayıcıda kilit kaybolur ancak göreli bir yol form güvenli değil (açıkça https çağırarak değil) göndermek eğer ben söylendi asla.

Bu doğru mudur? Ben güvenli muyum? Kontrol veya işlem formu güvenli ya da olmadığını kanıtlamak için bir yolu var mı?

Birisi ben sorumlu değilim o güvenli ama ben sadece emin olmak istiyorum bana anlatıyor.

Sayfa HTTPS ile açıkça çağrıldığında OTURUM değişkenleri oluşturulmaz çünkü form post üzerinde göreli bir yol kullanıyorum. Herkes de büyük olacağını bunun için potansiyel bir çözüm varsa.

4 Cevap

Açıkça gönderme olmasa da, örneğin, https://your-server.com/validate.php, göreceli bir bağlantı (örneğin, action = "validate.php") kullanıyorsanız, aslında hala her adımda HTTPS kullanıyor demektir.

Kısa cevap - protokol göreli bağlantıları değişmez. HTTPS form.php değilse Yani, form değişkenleri bir göreli bağlantı ile güvenli bir şekilde teslim olmayacaktır.

The lock on the browser never disappears but I was told if you post to a relative path (not calling https explicitly) the form is not secure.

Bu çöp. Bir göreli URI göreli URI ve protokol bir değişikliğe neden olmaz.

Sayfa HTTPS üzerinden talep ve URI göreli ise, o zaman bir sonraki isteği de HTTPS kullanır.

I am using a relative path on the form post because the SESSION variables arent created when the page is called explicitly with HTTPS

Eğer sorunu atlamamak gerekir. Tarayıcılar içten mutlak URI'lerde içine göreli tanım çözmek. Gönderilen verilerin hiçbir fark yoktur.

Eğer veri ilanı ya validate.php gelen işlemi tamamlamak için kullanılıyor ve veriler için HTTPS kullanarak değil tarayıcı bilgileri geri gönderiyorsanız, o zaman uygulamanızda bir potansiyel delik var. Validate.php göreli bir yol ile denir, HTTPS üzerinden yüklenen bir sayfa, sonra varsayılan olarak HTTPS kullanarak olacak - onlar açıkça belirtilmiş değilse göreli yolları protokol, ana bilgisayar adı ve port devralır.

Hiçbiri senin sayfasında, ancak, güvenli olduğu anlamına gelir. Bu gönderiliyor veriler şifrelenmiş ediliyor demektir. Hala verileri aktarmak için HTTPS kullanan bile başa çıkmak için gereken çeşitli konularda (zayıf şifreler, SQL enjeksiyon, cross-site scripting, vb) olabilir. HTTPS kullanıyorsanız, en azından, veri transferleri çok daha zor kesmek veya parodi olacak.

Bu göreceli yolları kullanmak için Tamam. Eğer içeriği şifreli olup olmadığını görmek için ağ paket görüntüleyici uygulamasını kullanabilirsiniz emin olmak için. Eğer oturum değişkenleri veri valide saklamak yok Ancak bir şey, sizin kod hakkında beni ilgilendiriyor? Eğer öyleyse, kimse root ve php dışında oturum değerleri erişebilirsiniz eminiz. Ben sadece durumda, her zaman bir crontab kullanarak eski kayıtlarını kaldırabilirsiniz veritabanı içinde valide değerlerini saklamak öneriyoruz.

etiketler