[PHP] Bloccare richieste indesiderate cURL

MaryDB

Nuovo Utente
23 Nov 2017
17
0
1
Ciao,

ho un quesito che non riesco a risolvere. La situazione è la seguente: esiste un codice php che controlla ed accetta le richeste esterne per accedere al DB. Se le credenziali sono sbagliate l'utente viene indirizzato a farsi un giro da un'altra parte. Fin qui tutto bene. Quello però che non mi è chiaro, è come sia possibile che se riutilizzo una vecchia richiesta (encodata base64 come tutte) e la inserisco nel browser, quest'ultimo mi restituisca una serie di caratteri (la rispota del DB come credenziali e dei dati) anche se di fatto è stata una vecchia richiesta oramai non più attiva.
Se provo a verificare sul DB, non vedo nessun dato che viene scritto, quindi la richiesta non ha prodotto un'azione diretta, ma solo indiretta, come conseguenza di accertare le credenziali.

Ora, la mia domanda è: è normale questa cosa ?
Come mai inserendo un url utilizzato in precedenza, ricevo sempre una risposta dal server (php) ?
E' possibile escludere/reindirizzare queste richieste "vuote" ?

Grazie.
 

macus_adi

Utente Attivo
5 Dic 2017
1.333
91
48
IT/SW
Quello però che non mi è chiaro, è come sia possibile che se riutilizzo una vecchia richiesta (encodata base64 come tutte) e la inserisco nel browser, quest'ultimo mi restituisca una serie di caratteri (la rispota del DB come credenziali e dei dati) anche se di fatto è stata una vecchia richiesta oramai non più attiva.
Potresti spiegare meglio?
  1. Cosa passi?
  2. A chi la passi?
  3. Come la passi?
 

MaryDB

Nuovo Utente
23 Nov 2017
17
0
1
Ciao Macus,
dunque, io passo una stringa con codice chiamata, credenziali e stringa di dati, tutta codificata base64, e la passo ad una pagina PHP, che la interpreta, la passa al DB pe controllare le credenziali e poi se sono giuste, smista i dati ad altri script php.
In pratica faccio una chiamata al file server.php?c=C1111&a=VzVwZEEsUXpVek1UTSxSVU5N....
 

MaryDB

Nuovo Utente
23 Nov 2017
17
0
1
Ciao,
mi è un pò difficile postare tutto il codice, in quanto è integrato in un sistema più complesso che riguarda più server/client contemporaneamente. Quello che posso fare è farti vedere un esempio di quello a cui mi riferisco, sperando che possa essere d'aiuto a comprendere quanto chiedo :
 

Allegati

  • PHP.png
    PHP.png
    14,3 KB · Visite: 244

macus_adi

Utente Attivo
5 Dic 2017
1.333
91
48
IT/SW
Hai lasciato un qualche
PHP:
echo $qualcosa
in qualche if/switch, o in alternativa hai stampato i dati di qualche elaborazione!
 

MaryDB

Nuovo Utente
23 Nov 2017
17
0
1
no. niente echo. Ora controllerò anche sugli altri server, ma non ricordo di averne visti.

Ma la cosa che mi lascia perplesso, è che possa comunque inviare questa richiesta, anche se la chiamata è stata chiusa (creato un nuovo valore) piuttosto che non esiste.
 

macus_adi

Utente Attivo
5 Dic 2017
1.333
91
48
IT/SW
Mi fido, ma guarda che quella potrebbe essere una semplice echo(base64_decode($str)); nascosta da qualche parte del tuo codice. Prova a rinominare la pagina e a crearne una nuova con lo stesso nome, poi inserisci echo(base64_decode($_GET['a'])); il risultato è come quello da te riportato...
Togli echo bla bla... e vedrai che la pagina non stampa nulla!
 
  • Like
Reactions: MaryDB

MaryDB

Nuovo Utente
23 Nov 2017
17
0
1
Ciao Marcus,
effettivamente hai ragione. C'era un echo presente su una vecchia pagina che veniva richiamata da questa, ed ecco spiegato il motivo della risposta. Grazie.

Comunque rimane il fatto che il server risponda, anche se non dovrebbe farlo. Perchè ?
 

MaryDB

Nuovo Utente
23 Nov 2017
17
0
1
io controllo; infatti se l'utente inserisce user e password sbagliate, lo reindirizzo. Quello però che non riesco a fare (sempre che sia possibile farlo) è che se l'utente mi manda una stringa uguale a quella di ieri o di 5 minuti fa, (dove ha avuto accesso correttamente al server), il server, non la identifica come sbagliata/non valida, ma la gestisce come se fosse attuale.
Questo si riperquote nel momento in cui un altro utente utilizza la medesima stringa per l'accesso ?
Forse sono io inesperto di PHP, e per questo vorrei capire se questo comportamento sia normale, oppure no.
 

macus_adi

Utente Attivo
5 Dic 2017
1.333
91
48
IT/SW
Ma l'applicazione in questione cosa fa? ossia questa pagina effettua il login?? i dati sono rappresentati in base64 e cosa contengono?
 

MaryDB

Nuovo Utente
23 Nov 2017
17
0
1
Ciao,
questa pagina semplicemente accetta richieste dati. Non c'è un vero e proprio form dove inserire i dati, ma i dati vengono trasmessi direttamente a questo indirizzo. Come ti ho scritto, i dati sono tutti encodati base64 e contengono un codice chiamata generato dal client, credenziali di accesso, dati di scambio che dovranno essere inseriti nel db. Questi dati verranno poi gestiti da altre pagine, non direttamente da questa.
 
Discussioni simili
Autore Titolo Forum Risposte Data
A [PHP] Bloccare utente tramite indirizzo IP PHP 3
A [PHP] Bloccare ridimensionamento tabella PHP 1
giancadeejay Bloccare utente se non loggato con script php PHP 12
G bloccare file php PHP 6
L bloccare l'accesso pagine php diretto PHP 6
neo996sps [PHP + MySQL] Se faccio F5 inserisce nuovo record. Come bloccare? PHP 7
M Per bloccare gli Ip indesiderati su php - nuke PHP 0
Couting95 inserire dati da un file di testo in una tabella in php PHP 1
P Data scraping in PHP non funziona PHP 4
C Calcoli matematici in php PHP 4
F Scrivere dei dati in word con php PHP 0
D PHP leggere cartella di Windows PHP 0
I dominio aruba versione php server linux Domini 3
G Colorare menu select attraverso ricerca php PHP 0
L PHP motore di ricerca nel sito PHP 1
S PHP e Mysqli PHP 0
Y Stampare da php su un foglio A6 attraverso una stampante esterna PHP 1
M Visulizzare immagine con php PHP 8
G [PHP] Creare script di prenotazione con controllo disponibilità. PHP 7
G leggere file txt e stampare con php il contenuto a video PHP 7
F Ricreare struttura php+mysql su Xampp Apache 0
Z PHP.INI - STMP per invio email con PHP Server Dedicati e VPS 0
M Array associativi php su 2 campi mysql PHP 10
G Invio form con PHP PHP 3
T fatture con voci fattura in php PHP 0
T ALTRO PROBLEMA CON ARRAY PHP PHP 1
M Collegamento tra form html e script php PHP 4
M Problemi con la stampa dei valori in php PHP 1
W [Cerco collaborazioni] Sviluppatore Web (PHP) Offerte e Richieste di Lavoro e/o Collaborazione 1
D passare valori da database sql a php PHP 1
L Ricezione dei dati su file php da modulo html PHP 6
E Inviare variabile a PHP da ciclo in JS Javascript 0
A form PHP prenotazione tramite query PHP 2
A Form php prenotazione di un azienda sanitaria locale presso studio medico PHP 1
F menù select dinamico da db in php PHP 3
L Problemi form Pagina php HTML e CSS 3
L php mysql non salva solo id PHP 21
L php mysql cerca e visualizza pagina PHP 0
F Il codice php è giusto? PHP 2
R Aggiornare record mysql con Ajax, jQuery e php Ajax 2
A invio massivo dati a file php Javascript 4
Z MySql injection PHP PHP 1
V PHP form intersecate PHP 0
I [Offro][Retribuito] Programmatore Php Offerte e Richieste di Lavoro e/o Collaborazione 0
P Funzione jQuery Ajax invio file a php jQuery 1
C Dopo chiusura del tag php la stringa html va a capo PHP 1
E Transaction php PHP 11
B ciclare file xml con PHP PHP 1
L Estrazione dati php Database 6
A Aiuto per pagina php PHP 0

Discussioni simili