Проверка данных с сервера

[koox]

День добрый всем!
Трабл такой: как мне проверить, откуда пришли данные - с моего сервака или нет?
То есть, данные из формы, расположенной на http://myservak.com, к скрипту myscript.php, должны обрабатываться и использоваться дальше, а из формы (такой же), лежащей на любом другом сервере и заполненной, не обрабатывались вообще?
Какая проверка должна быть в myscript.php?
Сорри за путанность ;-(

[Crazy]

Ответ: ты не должен этого хотеть. Если интересно -- могу объяснить причины.

[juggy]

PHP код:

<?
// ©2003 Authors Mitya Aleshkovsky [email]mitya@127.ru[/email]

    $var=stripslashes(strip_tags($HTTP_POST_VARS['testvar']));
    $from=$HTTP_SERVER_VARS['HTTP_REFERER'];

    if(!isset($var))
    {
    echo "<form method=post action=\"".$PHP_SELF."\">\n<input type=\"text\" name=\"testvar\">\n</form>\n";
    }else{
        if(!isset($from))
        {
            echo "Не понятно вообще откуда были переданы данные.";
        }
        else
        {
        
            $from=parse_url($from);
            if(stristr($from['host'],"myservak.com"))
            {
                echo "Переменная пришла именно с MyServak.com";
            }
            else
            {
                echo "Переменная пришла не понятно откуда.";
            }
        }

    }

?>

[Crazy]

Какая наивность.

PHP код:

$ch = curl_init (); 
...
curl_setopt($ch,CURLOPT_REFERER, 'http://myservak.com/form.html');
...
$result = curl_exec ($ch); 
... 


Кстати, читая данный конкретный код проверки я нашел способ хакнуть его даже без использования серверных скриптов.

[juggy]

ну да.
ещё можно

PHP код:

@fputs($fp, "GET ".$uri["path"].$uri["query"]." HTTP/1.0\r\nHost: ".$uri["host"]."\r\nUser-Agent: NaebExplorer\r\nReferer: http://myservak.com\r\n\r\n"); 


А есть ли реальные способы это обойти?

[Crazy]

Реальных способов обойти -- нет. Можно защититься от тупой пионерской установки формы, адресующей чужой скрипт. В этом подойдет твой скрипт, если исправить в нем ошибку.

Далее: есть мнение, что произошла подмена задач и на само деле требуется нечто иное, а не именно защита от поста с другого сайта.

P.S. Тестовый пример:

PHP код:

<?php
$from = 'http://myservak.com.foobar.ru/form.html';
$from=parse_url($from);
if(stristr($from['host'],"myservak.com"))
  echo "Переменная пришла именно с MyServak.com";
else
  echo "Переменная пришла не понятно откуда.";
?>

Думаю, исправить будет несложно.

[koox]

Спасибо большое! Сейчас посмотрю ваш код, есличего не пойму - поспрошаю еще чуток, ОК?
А насчет неправильно поставленной задачи - согласен целиком и полностью, может я чего не так объяснил, сорри еще раз!
Просто мне нужно, чтоб скриптик мой рассматривал переменные, пришедшие только из МОЕЙ формы (лежащей на моем серваке), а со всех остальных - нет. А то и выводил чего в браузере ;-)

[Crazy]

Цитата:

Оригинал написал(а) koox
пришедшие только из МОЕЙ формы

Ты все перепутал. Никакие переменные из ТВОЕЙ формы не приходят. Они приходят из браузера пользователя.

[koox]

Да, верно, sorry again. Они должны приходить вообще из флэшки, которая ембэдится, например, в flash.html. То, что данные были внесены в форму во флэше, что лежит на моем серваке, я могу проверить? Переменные уходят к пхп-шному скрипты, который их обрабатывает и пишет что-либо на сервере в файл. А так получается, что разобрав пары переменная-значение и зная адрес скрипта, проще простого положить на лябой сервак форму, назвать поля, как надо и в экшне написать хттп://ля-ля.ком/скрипт.пхп, ГЕТ - и вуаля! А это не есть гуд ;-(

[Crazy]

Цитата:

Оригинал написал(а) koox
Д А это не есть гуд ;-(

Для начала определимся: чем конкретно тебе это не нравится?