PTT
Submit
Submit
選擇語言
正體中文
简体中文
PTT
PHP
[請益] 要怎樣判斷請求來源
作者:
arnold0613
(凱)
2014-05-30 14:24:39
該如何抓到請求來源判斷
我的表單A->B 我在B
用substr_count($_SERVER['HTTP_REFERER'],$_SERVER['SERVER_NAME']
可以判斷來源是由哪個網域來的
但是我發生我送去金流後 金流會在導回C 但我在C 用$_SERVER['HTTP_REFERER']是空的
要用甚麼方式確認是由哪網域 或 ip 確保安全性
作者:
kerash
(.TW)
2014-05-30 14:34:00
金流送過去的參數沒有供開發者傳的memo值嗎?
作者:
arnold0613
(凱)
2014-05-30 14:36:00
有的 只是想想知道是否可以由誰導入過來的做為判斷方法
作者:
alog
(A肉哥)
2014-05-30 16:05:00
換一家好嗎二來 HTTP REFERER 是僅供參考的東西,不該拿來做驗證你如果要做高度的防護,建議做在確定入帳的部分然後用白名單的方式限定只有某個ip才能存取相關程式
作者:
kerash
(.TW)
2014-05-30 18:44:00
樓上請問如果該金流不是透過 server 呼叫而是透過 redirect將資料在金流成功後才 post 回到網站時,這部分要怎麼鎖定會比較安全?
作者:
alog
(A肉哥)
2014-05-31 00:52:00
你說的是用form傳參數嗎,這家金流我有印象這部分你完全沒辦法防,因為只要循著一定的參數就可以偷開單繳費成功的資料回傳,我印象他們有程式會POST到你的網站我不太清楚你說的金流成功是什麼意思如果是取得繳費資訊的部分,你可以對訂單的效驗做調整如果是確定入帳的部分,你可以觀察他們用的IP或Useragent不過個人不建議用 User-Agent 或 Referer 來作為參考這兩個 Http Header 是 Http Client 給伺服器的也意味著他是可以被偽造的最佳解還是針對IP,因為他們用的專線很固定如果你對這方面還是有疑慮,個人建議換一家金流業者
繼續閱讀
[請益] 關於同時插入資料與上傳多個檔案
ying5320
Re: [請益] 從mysql抓資料後多欄顯示
ying5320
[請益] 用get來實作分頁
sr29
[請益] 關於phpmailer 的問題
crossdunk
[請益] sfDoctrinePager
kiey
[請益] PHP echo javascript
forptt
[請益] while包while可行嗎??
longkink
[請益] 關於Facebook API擷取發文內容
g22gs
[請益] 學習用書和工具用書
boy255034
[請益] Header下載
gmiloveyou
Links
booklink
Contact Us: admin [ a t ] ucptt.com