Pristup direktoriju

Učim se još ali eto na svojim greškama.

Napravio sam neku stranicu, ima neki backand (za moje potrebe učenja) i imam folder scripts/ te unutra su razne php skripte.

Dosta njih su akcije koje se izvrše odmah nakon klika linka na backendu i s podacima koji su poslani iz backenda s $_GET array.

E sad kako zabraniti da netko direktno ukuca url skripte?

Probao sam s .htacces kemijati s “deny from all” ALI onda skripte ne rade.
kako da osiguram taj folder i da skripte rade samo onda kada netko klikne na link u admin području?

Jednostavno sam to predvidio a vidim da je to propust teži!

Hvala

o sad sam zbunjen do bola.

Dakle skripta koja nešto briše , naziva delete.php dobiva nekakav id klikom na linku na stranici, i briše podatak iz baze.
Stranica na kojoj se skripta može kliknuti, tj pokrenuti je u admin području.

Admin stranica admin.php je u istom web root folderu kao i index.php.

Skripta se nalazi u folderu skripte.

E sada kada bi netko malo pogledao može direktno ukucati link skripte i id u url i pokrenuti je. Briše tekst (cijenu).
Kako spriječiti ikakvo izvršavanje skrite osim one poslane s admin stranice?

imam na toj skripti ovo:

Mislim dovoljno je da netko ukuca url skripte i unese varijablu i ona se briše, ne? (recimo da nekako ulovi te vrijednosti)

Postavio sam provjeru da li je admin ulogiran pa ako nije šalje ga na login ako direktno ukuca kompletni url s varijablom.
Ali kako se inače radi koja je praksa?
Da li za takve stvari (brisanje) fajl se includa i onda radi s varijablama i funkcijama?

Što dalje kopam po tematici vidim da su rupe posvuda da bi kamion prošao…

A da si napraviš neku jedostavnu login skriptu pa ispituješ jel taj logiran ili ne?

Sa post varijablom pošalješ nekakvu vrijednost, pa onda provijeriš da li je ta vrijednost i post varijabla postavljena na delete.php stranici, ako nije onda redirektaš na “fuckyou.php” stranicu. Spremiš u session da je admin logiran pa provjeriš da li je session postavljen i onda brišeš itd. itd. Ima mali milion mogućnosti.

Stavi si administracijske skripte u zasebni direktorij i blokiraj mu pristup kroz htaccess:

To mi još zvuči najbolje, na taj način ako nije došao s varijablom s prethodne stranice može se …:slight_smile:
trebalo bi biti dovoljno.

[HTML]Izbriši cijenu[/HTML]

To je poziv za skriptu koja je u vanjskom folderu no zanima me kako da pošaljem post vrijednost najjednostavnije na tu skriptu jer joj šaljem info putem GET o idu proizvoda koji onda briše.

postavio sam .htaccess sa Options -Indexes da ne prikazuje foldere.
Da li se koristi to inače?

Hvala


Copyright © 2022 WM Forum - AboutContact