Anropa PHP-fil från HTML-knapp, med variabel

[MadModder]

Har funderat en stund här nu och inte riktigt kommit på något bra.
Jag ska ha en PHP-fil som modifierar olika loggfiler (txt-format) beroende på en variabel.
Filen ska köras när man trycker på olika knappar (på samma sida), och varje knapp måste då skicka med en variabel.
Men jag vill inte att det i HTML-koden ska synas vad det är för något som skickas med, so ?var=xxx i URL går ju bort, och så även POST.
En kaka eller sessionsdata kanske?

[pi314]

Gör det något om "html-koden" innehåller php?

Duger det att ha en "krypterad nyckel" som du skickar med? Som mottagande php-script sedan översätter till vad-det-nu-är?

Eller vill du att det inte alls syns att det är olika argument som skickas med? Beroende på vilken knapp man trycker på? Eller beroende på variabelns värde?

/π

[MadModder]

Php används för att skapa delar av HTML-koden så det gör inget.
Men det ska inte gå att bara kopiera det som står i länken på knappen och klistra in den URLen i adressfältet.
Även om man genererar en krypterad sträng med php och skriver ut den i knappkoden så är den ju fortfarande giltig med ovan copy-paste.

[pi314]

Vad om du lägger in en time-stamp i den krypterade strängen och ignorerar anrop som t.ex. är 3 sekunder gamla eller äldre?

/π

Edit: Eller ett sekvensnummer som bara godkänns en gång?

[Kulla]

Du skulle kunna lägga guid på slutet, typ ?variable=xxx&guid=yyyy och kontrollera om guid är valid och har blivit använt, så de blir som engångslösenord

[agehall]

Bortsett från att PHP alltid är fel svar så känns det som att något är fel i den här frågan.

Vad är det du ska logga? Om det är vilken knapp användaren tryckt på, tilldela dem unika UUIDn och matcha enbart dessa innan du loggar. Det man ska komma ihåg, är att allt som skickas från klienten kan modifieras. Spelar ingen roll om det är i en kaka eller något annat.

[MadModder]

Knapparna ska inte loggas.
Med en tryckning ska respektive knapp rensa bort en hög av de äldre raderna i olika tämligen enkla loggfiler som bara innehåller datum och IP-nummer.
Nu går det ju iofs inte att komma åt sidan hur som helst, så det räcker väl kanske att i php-filen ha en array med filnamnen och sen bara bifoga ett ID-nummer, samt kolla referrer. Som iofs går att spoofa...
Krypterad tidsstämpel var en bra idé som tål att tänkas på.

[rvl]

Har nästan ingen erfarenhet av just PHP, men det låter som om beslutet om vem som ska ha rätt att trycka på knapparna borde tas på serversidan och inte i klienten.
> "Nu går det ju iofs inte att komma åt sidan hur som helst"
Har sidan login, eller litar det ovanämnda bara på en "svårgissad" unik adress?

[MadModder]

Det finns ingen sida på domänen, bara på en subdomän, och den har aldrig delats någonstans.
Sidan har ingen login nu, men det är ju snabbt fixat.

[agehall]

ASP.NET använder någon form av RequestVerification parameter på requests. Det är någon form av kryptonyckel som måste skickas med i nästa request och som ändras efter varje lyckad request. Något sådant kan man implementera för att göra det jobbigare att spoofa requests. Men som sagt, allt som klienten ser kan spoofas, så det är bara en fråga om hur jobbigt du vill göra det.

Det bästa, imho, är att skapa en session på serversidan och sedan avgöra server-side exakt vad som ska loggas beroende på vilken knapp användaren trycker på. Det enda som klienten då har, är en pekare till sin session. Det kan visserligen spoofas det också, men om du använder en GUID för att identifiera sessionen så kommer det vara ganska svårt.

[MiaM]

Vilket problem ska lösas? D.v.s. vilken felaktig användning är det som ska undvikas?

Om du t.ex. vill undvika att folk raderar loggar genom att trycka reload eller använda fram/back så kan du göra så att de måste skriva nåt ord i en inmatningsruta, och ändra de orden från gång till gång. Typ de måste skriva bakelse för att radera nu, men en minut senare måste de skriva avloppsrensare osv.