Metoda post z paska adres przeglądarki

0

Cześć
Mam taki problem mianowicie:

  <form method="POST" action="login.php">
            <input type="text" size="8" name="LOG">
            <input type="text" size="8" name="PSW">
            <input type="SUBMIT" name="LOGON" value="Loguj">

 

Ze strony wszystko działa oka. Ale jak chce wywoływać z paska adres przeglądarki w taki sposób :
Http://xxxxxxxxx/login.php?LOG=xxx&PSW=xxxx to nie działa.
Macie pomysł jak to zrobić z paska adresu ?

Pozdro :)

0

a wiesz co to GET? nie bierz się za coś czego nie rozumiesz

0

Możesz zamiast $_POST wstawić $_REQUEST, czyli $_POST+$_GET w jednym.

Ja osobiście nie korzystam z $_REQUEST, ale wiem, że jest.

0

$_REQUEST nie używaj, to brzydka technika, może prowadzić do dziur.

http://stackoverflow.com/questions/368329/php-using-get-post-instead-of-request

0
dzek69 napisał(a):

$_REQUEST nie używaj, to brzydka technika, może prowadzić do dziur.

http://stackoverflow.com/questions/368329/php-using-get-post-instead-of-request

Do jakich znowu dziur? Wszystkie dane które się znajdą w $_REQUEST i tak pochodzą od usera i mogą być sfałszowane więc na pewno nie może "prowadzić do dziur", co najwyżej może ułatwić wykorzystanie jakiejś dziury lub wykonanie jakiejś akcji w imieniu kogoś innego

bo $_REQUEST nie powinno się używać jeśli dane MUSZĄ pochodzić z formularza POST (bo wysłanie formularza ma oznaczać jakąś czynność - na przykład zmianę hasła, avatara, wysłanie odpowiedzi na forum, itp), a nie z GET - wtedy dowolna osoba może te rzeczy zrobić w naszym imieniu wysyłając zapytanie GET choćby dzięki próbie pobrania obrazka z sygnatury na forum w tagu [image]
dla przykładu - na tym forum dając w sygnaturę ![user image](http://4programmers.net/Wyloguj) można było przez długi wylogować wszystkich którzy zajrzą w temat w którym się udzielasz. Teraz do adresu jest dodany identyfikator sesji żeby temu zapobiec, ale można było też zamienić metodę z GET na POST

ale to wszystko skutki użycia $_REQUEST zamiast $_POST
jeśli chcemy użyć $_REQUEST zamiast $_GET to na pewno nie wprowadzi to żadnej luki, nie umożliwi komuś wykonania akcji w kogoś imieniu i może jest nawet bardziej eleganckie niż czytanie z $_GET lub $_POST warunkowo - jedyne co może wprowadzić to zamęt i nieoczekiwaną zmianę zachowania skryptu w specyficznych warunkach na innym serwerze gdy ma on inną konfigurację "variables_order"

generalnie ja nie używam $_REQUEST bo trzymam jakiś porządek i jeśli formularz ma być przesłany przez GET to czytam z $_GET, a jeśli przez POST to czytam z $_POST - nigdy nie miałem sytuacji gdzie musiałem dopuścić przesłanie formularza dowolną metodą

i w tym temacie też mi się wydaje że autorowi chodzi tylko i wyłacznie o to żeby zmienić POST na GET

// jak można się tak rozpisać na temat takiej bzdury...

0

Tablica $_POST jest stworzona wlasnie po to, by nie można było formularza wypełniać poprzez adres.. Od tego jest $_GET..
Nie wiem czy wiesz jak zmienić, ale zmień <form method="post" ..> na <form method="get" ..>
pozdro

1 użytkowników online, w tym zalogowanych: 0, gości: 1