Chỉ có Captcha thôi, chứ dùng HTTP_REFERER thì có thể làm giả được, dùng token thì cũng bypass qua một cách đơn giản nếu flooder lưu lại session.
Chỉ có Captcha thôi, chứ dùng HTTP_REFERER thì có thể làm giả được, dùng token thì cũng bypass qua một cách đơn giản nếu flooder lưu lại session.
MANAGED DEDICATED SERVER - http://sundata.vn
- referer có thể giả mạo một cách đơn giản.
Ngoài ra có những ng dùng cài addon để ngăn gửi referer header vì mục đích bảo vệ tính riêng tư.
- tạo token ko phải là cách chống flood, chỉ là biện pháp chống cross-site request forgery thôi.
Ko hiểu sao nhiều ng nhầm lẫn việc check referer/token với việc chống flood.
Ở đây các thao tác gửi dữ liệu mình đều thực hiện với user đã login nên chắc dùng session để check là chống được resubmit và giới hạn được thời gian post giữa 2 lần rồi.
Còn dùng $_SERVER['HTTP_X_REQUESTED_WITH'] thì ko biết đã chắc chắn chặn được việc giả form html để post dữ liệu từ ngoài ko.
Còn nếu tạo token thì cũng không chắc, vì người dùng có thể đăng nhập, rồi lấy mã token đưa vào form giả rồi submit thì vẫn được, tất nhiên họ chỉ làm đc 1 lần và bắt buộc phải reset lại form để lấy token khác, nhưng họ đã qua được việc check dữ liệu đầu vào.
Bạn cứ lý luận như là đúng rồi, trong khi kiến thức cơ bản thì bị hổng, chỉ dựa trên chút hiểu biết rồi suy diễn thì chả đi đến đâu. Nói cho bạn hiểu thì cũng đc thôi nhưng ko ai rảnh mà giải thích hết mọi thứ đâu. Thay vì hỏi ng khác sao ko thử bắt tay vào làm thực tế, chỉ có thực tế mới là ng thầy chỉ dẫn tốt nhất.
Đúng là kiến thức của mình còn thiếu sót nhiều chỗ, nhưng ở đây mình đâu có suy diễn, và đã thao tác thực tế rồi mới đưa ý kiến để tìm cách khắc phục thôi. Ví dụ như $_SERVER['HTTP_X_REQUESTED_WITH'] mà bạn nói, mình đã áp dụng thử và đã chặn được post từ form html tự tạo, nhưng do chưa hiểu rõ nên ko biết nó có check tốt trên mọi trình duyệt,... nên mới hỏi thôi. Chứ không phải là lười không chịu tìm hiểu. Bạn thông cảm.
[=========> Bổ sung bài viết <=========]
À không, trong php mình cũng có check lại 1 lần nữa chứ.
Được sửa bởi trunghieuhf lúc 23:47 ngày 11-04-2011 Reason: Bổ sung bài viết
Bookmarks