Napravio sam neku stranicu, ima neki backand (za moje potrebe učenja) i imam folder scripts/ te unutra su razne php skripte.
Dosta njih su akcije koje se izvrše odmah nakon klika linka na backendu i s podacima koji su poslani iz backenda s $_GET array.
E sad kako zabraniti da netko direktno ukuca url skripte?
Probao sam s .htacces kemijati s “deny from all” ALI onda skripte ne rade.
kako da osiguram taj folder i da skripte rade samo onda kada netko klikne na link u admin području?
Jednostavno sam to predvidio a vidim da je to propust teži!
Dakle skripta koja nešto briše , naziva delete.php dobiva nekakav id klikom na linku na stranici, i briše podatak iz baze.
Stranica na kojoj se skripta može kliknuti, tj pokrenuti je u admin području.
Admin stranica admin.php je u istom web root folderu kao i index.php.
Skripta se nalazi u folderu skripte.
E sada kada bi netko malo pogledao može direktno ukucati link skripte i id u url i pokrenuti je. Briše tekst (cijenu).
Kako spriječiti ikakvo izvršavanje skrite osim one poslane s admin stranice?
imam na toj skripti ovo:
Mislim dovoljno je da netko ukuca url skripte i unese varijablu i ona se briše, ne? (recimo da nekako ulovi te vrijednosti)
Postavio sam provjeru da li je admin ulogiran pa ako nije šalje ga na login ako direktno ukuca kompletni url s varijablom.
Ali kako se inače radi koja je praksa?
Da li za takve stvari (brisanje) fajl se includa i onda radi s varijablama i funkcijama?
Što dalje kopam po tematici vidim da su rupe posvuda da bi kamion prošao…
Sa post varijablom pošalješ nekakvu vrijednost, pa onda provijeriš da li je ta vrijednost i post varijabla postavljena na delete.php stranici, ako nije onda redirektaš na “fuckyou.php” stranicu. Spremiš u session da je admin logiran pa provjeriš da li je session postavljen i onda brišeš itd. itd. Ima mali milion mogućnosti.
To je poziv za skriptu koja je u vanjskom folderu no zanima me kako da pošaljem post vrijednost najjednostavnije na tu skriptu jer joj šaljem info putem GET o idu proizvoda koji onda briše.
postavio sam .htaccess sa Options -Indexes da ne prikazuje foldere.
Da li se koristi to inače?
