Скрыть get php url

Question

Скрыть get php url

0

У меня есть динамическая таблица, состоящая из всех деталей пользователя, а также ссылка на клик по ней направляется на другую страницу, где мы можем просмотреть подробную информацию о конкретном курсе конкретного пользователя. Моя проблема в том, что я хочу скрыть идентификатор и не могу использовать метод post. Также есть способ скрыть URL-адрес или любой способ сделать это

echo "<td>"  . $lead['lastname'] . "</td>";
echo "<td>" .'<a href="course_complete_sup.php?id'.$row1['userid'].'" class="lien2" value='.$row1['userid'].'/>Course Completed</a>' ."</td>" ;
echo "<td>" .'<a href="course_progress_sup.php?id='.$row1['userid'].'" class="lien2" value='.$row1['userid'].'/>Course Progress</a>' ."</td>" ;
echo

спасибо

vimal 17 янв. 2011, в 09:05

Источник

0

Идентификатор основан на текущем вошедшем в систему пользователе?
Dogbert 17 янв. 2011, в 07:26
2

Безопасность через неизвестность! == безопасность. Вы должны сделать свое приложение безопасным, а не скрывать необходимую, но, вероятно, легко угадываемую информацию.
deceze♦ 17 янв. 2011, в 07:35
0

нет, оно основано на иерархии, где будет отображаться только конкретная информация о пользователе
vimal 17 янв. 2011, в 07:39
1

Я не вижу никаких проблем? Почему эти идентификаторы не могут быть выставлены?
Alfred 17 янв. 2011, в 07:58
0

так как любой может изменить идентификатор и иметь информацию .. по вопросам безопасности ...
vimal 17 янв. 2011, в 08:18
0

Вы не понимаете вопросов безопасности. Слушайте, что говорит! Это НАМЕРЕНО верхнее быть изменено! Вы должны проверить это на стороне сервера.
Your Common Sense 17 янв. 2011, в 08:44
0

хорошо, если вы работаете в компании, у вас есть право просматривать определенную информацию, если другие люди просто вводят идентификатор произвольно и просматривают всю информацию, не предназначенную для него ... это будет неправильно, д-р ..
vimal 17 янв. 2011, в 09:46
0

Вот почему вы должны сделать свое приложение безопасным ! Требовать логины. Проверьте, разрешено ли пользователю просматривать что-либо или нет. Не показывайте им информацию, если это не так. Реализуйте модель безопасности.
deceze♦ 17 янв. 2011, в 10:02
0

Люди найдут способ угадать. Действительно, есть очень умные и умные люди, которые хотят проделать дыры в вашем приложении. Что вам нужно сделать, это изменить экран, который показывает информацию. Поэтому, если я не увижу эту информацию, я не смогу, даже если я изменю идентификатор в URL .
toon81 22 окт. 2011, в 09:52

Показать ещё 7 комментариев

Теги:

php

mysql

url

get

3 ответа

0

Нет, если вы используете GET, параметры будут отображаться в URL-адресе. Вы можете попробовать перенаправить сразу, но это не помогает, если проблема с безопасностью.

Есть ли конкретная причина, по которой вы не можете использовать POST? Это действительно будет способ, если вам нужно скрыть эту информацию.

Dustin Wilhelmi 17 янв. 2011, в 06:03

4

даже POST не может скрыть информацию, это все общедоступные данные.
Glavić 17 янв. 2011, в 07:31
0

у меня есть две страницы 1 для полного и 1 для прогресса из 2-х разных ссылок .. для самих мер безопасности, мне нужно скрыть их ...
vimal 17 янв. 2011, в 07:33

-4

Единственный способ предотвратить просмотр пользователем URL-адреса - это сделать все на сервере, что, как правило, слишком сложно и медленнее. Вы должны переконфигурировать свой код, чтобы он не был проблемой безопасности для URL-адреса, но если вы не можете, вам придется отправить хеш или произвольное число в ссылку.

Например, вы можете создать следующую ссылку:

'<a href="newaction.php?action='.md5("user_id=" . $row1['userid'])).'" class="lien2" />Course Progress</a>'

и не зная ничего о вашем php-коде, я бы предположил, что вы можете сделать что-то вроде следующего в newaction.php:

<?php
// ... a bunch of code ...
if ($_GET['action'] == md5("user_id=" . $row1['userid'])) {
    course_progress_sup($row1['userid']);
}
// .. a bunch more code ...
?>

Я напоминаю вам, что это плохая идея, и вы должны переосмыслить, как вы собираетесь это делать, но вы могли бы сделать что-то подобное, если бы вам пришлось.

regality 17 янв. 2011, в 06:39

0

чтобы получить это, мы должны зашифровать идентификатор на целевой странице, используя sql, и сопоставить идентификатор GET ... это займет много времени ... но это гадкая идея ... но оно останется статичным, так как любое число может быть зашифровано в md5
vimal 17 янв. 2011, в 07:46
0

если это проблема, то вы можете использовать случайное начальное число в хэше. Вы можете сделать: $ _ SESSION ['rand_seed'] = rand (1 100 000); и затем поместите это в каждый md5: .... href = "newaction.php? action = '. md5 (" user_id = ". $ row1 [' userid ']). $ _SESSION [' rand_seed ']).'" CLAS .....
regality 17 янв. 2011, в 07:49
0

нааааа .... я пробовал ... но при сопоставлении значений из преобразования get и md5 ... это не работает ...
vimal 17 янв. 2011, в 08:45
0

я пытался сделать это и получить информацию .. но как я могу удалить случайное семя, чтобы сопоставить идентификатор с базой данных
vimal 17 янв. 2011, в 10:17

Показать ещё 2 комментария

Ещё вопросы

Идентификатор основан на текущем вошедшем в систему пользователе?
Безопасность через неизвестность! == безопасность. Вы должны сделать свое приложение безопасным, а не скрывать необходимую, но, вероятно, легко угадываемую информацию.
нет, оно основано на иерархии, где будет отображаться только конкретная информация о пользователе
Я не вижу никаких проблем? Почему эти идентификаторы не могут быть выставлены?
так как любой может изменить идентификатор и иметь информацию .. по вопросам безопасности ...
Вы не понимаете вопросов безопасности. Слушайте, что говорит! Это НАМЕРЕНО верхнее быть изменено! Вы должны проверить это на стороне сервера.
хорошо, если вы работаете в компании, у вас есть право просматривать определенную информацию, если другие люди просто вводят идентификатор произвольно и просматривают всю информацию, не предназначенную для него ... это будет неправильно, д-р ..
Вот почему вы должны сделать свое приложение безопасным ! Требовать логины. Проверьте, разрешено ли пользователю просматривать что-либо или нет. Не показывайте им информацию, если это не так. Реализуйте модель безопасности.
Люди найдут способ угадать. Действительно, есть очень умные и умные люди, которые хотят проделать дыры в вашем приложении. Что вам нужно сделать, это изменить экран, который показывает информацию. Поэтому, если я не увижу эту информацию, я не смогу, даже если я изменю идентификатор в URL .
даже POST не может скрыть информацию, это все общедоступные данные.
у меня есть две страницы 1 для полного и 1 для прогресса из 2-х разных ссылок .. для самих мер безопасности, мне нужно скрыть их ...
чтобы получить это, мы должны зашифровать идентификатор на целевой странице, используя sql, и сопоставить идентификатор GET ... это займет много времени ... но это гадкая идея ... но оно останется статичным, так как любое число может быть зашифровано в md5
если это проблема, то вы можете использовать случайное начальное число в хэше. Вы можете сделать: $ _ SESSION ['rand_seed'] = rand (1 100 000); и затем поместите это в каждый md5: .... href = "newaction.php? action = '. md5 (" user_id = ". $ row1 [' userid ']). $ _SESSION [' rand_seed ']).'" CLAS .....
нааааа .... я пробовал ... но при сопоставлении значений из преобразования get и md5 ... это не работает ...
я пытался сделать это и получить информацию .. но как я могу удалить случайное семя, чтобы сопоставить идентификатор с базой данных

vimal · Accepted Answer · 2011-01-17T08-56-00.000Z

ok я использовал метод регентства.

$_ SESSION ['rand_seed'] = rand (1,100000);

echo ". $lead ['lastname']." ";

echo "<td>" .'<a href="course_complete_sup.php?id='.md5($row1['userid']).$_SESSION['rand_seed'].'" class="lien2" value='.$row1['userid'].'/>Course Completed</a>' ."</td>" ;

тогда, когда он направляет страницу course_complete_sup.php

$ids = $_GET ['id']; $ salt= $_SESSION ['rand_seed']; unset ($ _SESSION ['rand_seed']);

if ($salt < 1)
{
  header("location: access-denied.php");

}

еще {

 list($var1) = explode($salt, $ids, 2);

}


$encrypt = mysql_query("select distinct(userid)  from course_complete ");
{
while($row = mysql_fetch_array($encrypt))
{

  $r= md5($row['userid']);
   if( $r== $var1){
                $id = $row['userid'];
   }

}

И это работает!!!!!!!!!!

спасибо regality и u все...

Cheersssssss