Witam,
Mam skrypt który muszę koniecznie zabezpieczyć, gdyż gdy wejdę w źródło strony, widać link do skryptu, który dodaje punkty użytkownikowi.

Dane przesyłam metodą GET.
Przykładowy link

link.php?user=2&strona=2

No i w podstronie link.php mam

if (!empty($_GET['user']) && (!empty ($_GET['strona']))) {
	//tu sa polecenia
	
	}

Jak widać kod jest niezabezpieczony i starczy wpisać odpowiedni adres w pasek adresu w przeglądarce, aby wejść na stronę i kod się wykonał.
Potrzebuję jakiegoś zabezpieczenia przed takim działaniem.

Serdecznie proszę o pomoc.

Nie rozumiem, co chcesz zrobić...
if ($_GET["strona"] == "2")?
Mów jaśniej.
Może spróbuj użyć metody POST?

Wartości Strona i User są mi potrzebne do skryptu który się tam znajduje (kilka poleceń mysql). Skrypt ten dodaje wartości do tabel w bazie danych.

Chcę zabezpieczyć ten skrypt, bo teraz po wpisaniu adresu skrypt wykonuje sie automatycznie i wartości są dodawane.
Chciałbym aby tak nie było.

Jeśli nadal niezbyt dobrze wytłumaczyłem, to proszę o kontakt na gg : 9143377, wtedy wyślę cały kod, gdyż na forum wolę go nie wystawiać.
Z góry dzięki!

Jak wyżej, opisz dokładniej problem, czemu ten link jest w źródle strony, może wprowadź jednorazowy kod (typu fdf3e8d443id4342) wysyłany do skryptu i zabezpiecz to przed xss.

Link jest w źródle strony, gdyż jest generowany przez skrypt PHP w ten sposób

echo "surfuj.php?user=".$User['user']."&strona=".$strona['link'].""

Słuchaj, z fusów ci tu nie wywróżymy. Napisz dokładnie co ten twój skrypt robi, kiedy jest uruchamiany i w jakich okolicznościach. Póki co to nie bardzo da się zrozumieć problem.

Skrypt dodaje do bazy mysql, tabeli users, punkty dla danego użytkownika który jest przysłany w $_GET['user'] oraz odejmuje punkty dla strony która jest przysłana w $_GET['strona'].
Skrypt jest uruchamiany, gdy ktoś kliknie +1 (Ten od google)

<script type="text/javascript"> 
				var json;
				function go () {
					window.location ="surfuj.php?<?php echo"user=".$User['user']."&strona=".$strona['link']."";?>";
				}
				function Exchange(json){
					setTimeout("go();", 3000);
				}
			</script>  

oraz

 <g:plusone size="Tall" count="true" callback="Exchange"></g:plusone>

To w zasadzie cały kod...
Tylko jak go zabezpieczyć, aby TRZEBA było kliknąć +1, a nie TYLKO wpisać dane do paska przeglądarki.

Czy dostatecznie to wyjaśniłem ? :)

Nie mam pojęcia jak to zrobić metodą POST, sam formularz i odbiór danych zrobić jest bez problemu, nie wiem tylko jak to połączyć z moim kodem JS

skrypt php powinien wiedziec w momencie wejscia na strone ktory uzytkownik wszedl na strone a nie tak jak to zrobiles, tzn ze po zalogowaniu powinienes przechowywac dane w sesji gdziekolwiek.