Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,037

HOME > PHP > PHP Forum > อยากซ่อน url พวก id ที่เป็นตัวแปร GET เวลาเรียกดูข้อมูลเพื่อป้องกันการแก้ไข id บน url ครับ

อยากซ่อน url พวก id ที่เป็นตัวแปร GET เวลาเรียกดูข้อมูลเพื่อป้องกันการแก้ไข id บน url ครับ

เริ่มหัวข้อใหม่

Donly2020

โพสกระทู้ ( 46 )
บทความ ( 0 )

ผม echo ข้อมูลออกมาเป็นตาราง เเล้วมีปุ่มกดแก้ไข
เวลากดเเล้วจะส่ง GET ออกมามันเเสดงบน URL จะซ่อนได้ไหมครับ
เวลากดแก้ id ผ่าน URL มันสามารถไปเรียก id อื่นมาได้ เลยไม่อยากให้มี id ใน URL
ตอนนี้ผมใช้ .htaccess ในการซ่อน .php เห็นเขาว่ามันซ่อนตัวแปรพวกนี้ได้ เเต่ยังใช้ไม่เป็น
ฟฟฟฟ

Code (PHP)

<td><a href="editnewsadmin?news_id=<?php echo $row["news_id"];?>" target="_blank"><button type="button" class="btn btn-primary btn-sm">แก้ไข</button></a></td>

Tag : PHP, HTML, CSS, Laravel Framework, CakePHP, FuelPHP

Date : 2020-05-03 04:41:58

By : 1607845825935583

View : 5214

Reply : 8

No. 1

Chaidhanan

โพสกระทู้ ( 9,586 )
บทความ ( 2 )

ส่งเป็น GET ซ่อนไม่ได้ครับ ให้ส่งเป็น post
หรือ encode แล้ว decode ที่หลัง
ตัวอย่างง่ายๆ ประยุกต์เพิ่มเติมเอาเอง
้
Code (PHP)

<?php
$hash = 'abcd'.base64_encode($id);
echo 'http://yourdomain/load.php?hash='.$hash

//ตอนรับ
$id = base64_decode( substring($hash,3));

Date : 2020-05-03 07:02:48

By : Chaidhanan

No. 2

Donly2020

โพสกระทู้ ( 46 )
บทความ ( 0 )

ขอบคุณครับ encode ลองเเล้ว งง ว่าจะเปลี่ยนเป็น POST เเต่ปุ่มในตารางที่ไม่ใช่ form แบบนี้มันส่งได้ไหมครับ

Date : 2020-05-03 12:21:53

By : 1607845825935583

No. 3

พระยาเทพ

โพสกระทู้ ( 1,458 )
บทความ ( 0 )

ตอบความคิดเห็นที่ : 2 เขียนโดย : 1607845825935583 เมื่อวันที่ 2020-05-03 12:21:53

รายละเอียดของการตอบ ::

ส่วนตัวผมกลับมองว่า encode ง่ายกว่า post
post ต้องคู่กับ(ต้องมี) form ไม่วิธีใดก็วิธีหนึ่ง
1. มี form ใน html ตั้งแต่แรก
2. สร้าง form element ที่หลังด้วย JS
3. jQuery ด้วย $.post('page.php', function(data) {} หลังฉากจะมีการสร้าง form ขึ้น
4. อ้างอิง form id

Code

<form id="myform"></form>

<button form="myform" ... >

Date : 2020-05-03 13:28:13

By : PhrayaDev

No. 4

mr.v

โพสกระทู้ ( 4,756 )
บทความ ( 8 )

ส่ง method post
แต่ว่าก็ยังแก้ได้อยู่ดี เพียงแต่ต้องใช้ความสามารถอีกหน่อย ข้อเสียคือส่งลิ้งค์ให้คนอื่นไม่ได้เลย
อย่างเช่นคุณมีปัญหาต้องให้ลูกน้องแก้งาน id 15 แต่ได้แต่บอก ส่งลิ้งค์ให้ไม่ได้เพราะเป็น method post

วิธีที่เหมาะคือ encode/decode อย่างที่คห.ข้างบนบอกไว้แล้ว ก็จะช่วยให้กันการแก้ url เองได้และส่งลิ้งค์ได้

หรือ ใช้ nonce (number once) ช่วย (แต่ก็ส่งลิ้งค์ไม่ได้เพราะจะติดปัญหา session nonce ไม่ตรง)
อย่างเช่น ในหน้า listing ให้สร้าง nonce ใน session แล้วแนบไปกับลิ้งค์ด้วย เช่น ?id=15&nonce=randomstringXxX
ถ้า querystring nonce ไม่ตรงใน session ก็แจ้ง error ไปเลย. แล้ว nonce นี่ตามชื่อมันคือเรียกใช้ได้ครั้งเดียว ถ้าเข้าหน้านั้นแล้วหรือไปหน้าอื่นก็สร้างใหม่แล้วแนบไปในลิ้งค์.
หาอ่านเพิ่มเติมเกี่ยวกับ nonce เอามีตัวอย่างเพียบ

Date : 2020-05-03 13:43:08

By : mr.v

No. 5

Chaidhanan

โพสกระทู้ ( 9,586 )
บทความ ( 2 )

ตอบความคิดเห็นที่ : 2 เขียนโดย : 1607845825935583 เมื่อวันที่ 2020-05-03 12:21:53

รายละเอียดของการตอบ ::

งง เพราะโค๊ดผมพิมพ์ ตัวอย่างผิดหรือเปล่าเลย decode ไม่ได้

$id = base64_decode( substring($hash,3));

แก้เป็น
$id = base64_decode( substr($hash,4));

555 ตอนนี้ เขียน pascal อยู่ เลยหลงคำสั่ง 5555 และพิมพ์เลขผิด อีกต่างหาก

Date : 2020-05-03 14:43:39

By : Chaidhanan

No. 7

Genesis™

โพสกระทู้ ( 4,169 )
บทความ ( 7 )

เห็น URI เป็น /admin ใช้ GET ปกติเนี่ยล่ะครับมาตราฐานดี ไม่ encode ก็ทำ nonce ตามด้านบนแนะนำ
แต่เห็น tag มาเป็น Laravel ก็ต้องตอบอีกแบบว่าไปทำ Secue Token หรืออธิบายง่ายๆคือ นำ Token แนบมากับ URI และให้ Middleware หรือ Controller เปรียบเทียบก่อนเข้า Class ที่จะใช้งาน

ประวัติการแก้ไข
2020-05-03 15:49:24

Date : 2020-05-03 15:43:13

By : Genesis™

No. 8

Donly2020

โพสกระทู้ ( 46 )
บทความ ( 0 )

ขอบคุณทุกๆคนที่เเนะนำนะครับ ผมมือใหม่ เลยไม่ค่อยเข้าใจอะไรลึกมาก
ตอนนี้ผมเปลี่ยนเเผนเป็นใช้ modal เเทนเเล้วครับ ส่วนเรื่องที่เเนะนำมาไว้ผมจะไปศึกษาเพิ่มดูครับ

Date : 2020-05-04 17:05:00

By : 1607845825935583

No. 9

Genesis™

โพสกระทู้ ( 4,169 )
บทความ ( 7 )

Model ไม่ใช่ทางออก เขียนไม่ดีสามารถยัด script ได้เช่นกันครับ

Date : 2020-05-04 17:32:23

By : Genesis™

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : อยากซ่อน url พวก id ที่เป็นตัวแปร GET เวลาเรียกดูข้อมูลเพื่อป้องกันการแก้ไข id บน url ครับ

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก