Script 'Reindirizzato da...' (HTML/PHP?)

salve ragazzi!!

Avrei una domanda... non so se si può fare in HTML, ma sicuramente sarà possibile farlo in PHP... come faccio a vedere da dove sia venuto l'utente?

es.

miosito.com
sub.miosito.com

sub.miosito.com può essere visualizzato solo se l'utente viene da miosito.com (quindi niente accesso diretto o accesso da altri siti)

In poche parole devo far passare dati da un sito all'altro... il problema è che i dati sono in sessione per evitare manipolazioni, quindi farei un $_GET criptato, ma devo essere sicuro che quei dati vengano da miosito.com (es. uno potrebbe scoprire la chiave di criptazione e creare reindirizzamenti potenzialmente pericolosi, come sub.miosito.com/?a=afnno&b=12knN... solo che se l'hacker fa una cosa del genere, il sistema lo blocca perché il link non viene da miosito.com, ma dall'IP dell'hacker...

Grazie ^^

php: $_SERVER['HTTP_REFERER']
javascript: document.referrer


Ciao!!

grazie mille ^^

Ma nella versione PHP visualizzo il DNS o l'IP?

Nessuna delle due, in entrambi i casi (php e js) ottieni l'indirizzo da cui proviene il visitatore.


ciao!

[dreadnaut]

il sistema lo blocca perché il link non viene da miosito.com, ma dall'IP dell'hacker...

idee confuse? usa anche tu il Vinavil!

il referrer (o referer che scriver si voglia) non contiene mai un ip... è un campo che dovrebbe indicare da quale pagina si è giunti, via link, a quella corrente.

Il campo è riempito ed inviato dal browser che si utilizza per visitare il sito, quindi se arrivo ad una pagina tramite link, conterrà si qualcosa tipo http://www.miosito.com/blabla/, ma se ci arrivo "a mano" (via bookmark o scrivendo l'indirizzo), esso sarà vuoto. Niente, niente ip li dentro.

Questa è la teoria. La pratica è che il campo referer è spesso inaffidabile, si può disattivare dal lato client (inviandolo sempre vuoto) e soprattutto è facilmente falsificabile, quindi inadatto a qualsiasi controllo di sicurezza.

allora mi rimane solo il GET criptato? Perché ho un refresh con indirizzamento al secondo sito, e non saprei come inviare tramite POST senza dover far cliccare su di un pulsante... certo sarebbe fantastico (e poi lo cripto)... avete idee in riguardo?

cmq non so perché in locale, non funziona (mentre $_SERVER['REMOTE_ADDR'] sì)...

[dreadnaut]

mboh, il problema iniziale rimane un po' fumoso. se i dati sono in una sessione, non si muovono dal server, perché li devi criptare ?

perché i dati li devo prelevare e portarli sul secondo sito... in modo alquanto sicuro... (pensa ad un modulo di login che dipendentemente da una variabile ti reindirizza (se i dati sono corretti) ad un altro sito...