Formes sur plusieurs domaines soutiennent à la même Page de processus PHP

Nous avons un petit formulaire sur plusieurs de nos sites. Tous nos sites sont sur le même serveur privé. Je veux que tous les formulaires pour commencer à utiliser le même script php pour traiter les variables POST, mais Im pas certain que la meilleure façon de mettre en place.

Je choisir seulement un des sites pour accueillir le script php du gouvernement ? Comme www.site1.com/process.php . Par exemple, mon formulaire sur www.site2.com/form auront action="http://www.site1.com/process.php" ?

Ou y a-t-il une meilleure façon d'accueillir le script de processus pour chaque formulaire avec eux tous sur le même serveur ?

Enfin, whats la meilleure façon de s'assurer que le poste est provenant de mon serveur ? J'ai lu que HTTP_REFERER n'est pas fiable. Ainsi, en process.php ce que dois-je vérifier pour. Il semble y être plusieurs méthodes sur ce type de sécurité.

Je suis collecte la raison que vous voulez utiliser un script unique est de sorte que vous pouvez mettre à jour et maintenir un script versus ayant chacun garder sur mise à jour sur chaque site Web. Si je me trompe please let me know. Si tel est le cas vous pourrait tout simplement choisir un site et l'utiliser il, ou une autre idée est que vous pouvez placer le script dans un endroit unique sur votre serveur et le lien symbolique de ce script de tous vos répertoires de sites Web où vous pouvez il afin que chacun d'eux allait utiliser le script, mais vous pouvez juste configurer et mettre à jour une fois partout où vous avez il trouve vraiment.

En assurant que le poste est provenant de votre serveur ou de l'un de vos sites, il n'y a aucune façon vous pouvez 100 % s'assurer que, mais il y a beaucoup de choses, vous pouvez faire pour aider. Le premier vous déjà mentionné et qui est la variable HTTP_REFERER. Il n'est pas fiable, mais vous pouvez toujours utiliser que de couper sur certains trafic qui montre elle de chargement d'un autre site qui n'est pas autorisé par vous. Si vous pensez qu'un autre site Web peut-être essayer de lien vers ce script directement une autre chose que vous pouvez faire est de créer un champ masqué dans votre formulaire qui crée une valeur md5 d'un sel secret stocké dans votre base de données combinée avec une autre valeur dynamique tels que l'id de session ou d'adresse des ip d'utilisateurs. Lorsque la demande vient ensuite à travers vous pouvez utiliser cette variable cachée au match contre leur adresse IP, assurez-vous que la même adresse IP que chargée de la forme est celle qui est sa soumission. Cela empêche un autre site Web de soumettre un formulaire via votre site Web, car il est pas qu'ils pouvaient deviner votre variable caché à moins que le site Web externe chargé de votre formulaire, extraite de la variable cachée et ensuite soumis le formulaire eux-mêmes puisqu'ils devront utiliser leur IP et pas les utilisateurs. Donc il n'empêche les utilisateurs de soumettre vos formulaires d'un site Web externe par vous de ne pas fonctionner.

Exactement. Nous allons utiliser la même structure de forme au cours donc je voulais simplement un moyen plus facile de gérer le stockage.

Merci, j'ai aussi lu sur le champ masqué md5, mais je ne le comprenait pas, mais votre description il éclaircie. Je pense que la plupart des gens ont été salage la variable cachés md5 mais ne mentionnant ne pas qu'elle aurait besoin d'être couplé avec l'adresse ip d'utilisateurs. Plus logique pour moi.

J'ai mon pour faire comme décrit mais ce matin nous avons quelqu'un soumet le formulaire over and over avec info bidon.

Toutes les toutes les demandes le firstname et lastname sont identiques et le téléphone et le zip contient des lettres comme KmVOmWFG. Le premier et le dernier nom pourrait être les noms réels ou faux comme David David ou Evomuss Evomuss. L'IP saute dans le monde entier sur toutes les présentations.

J'ai ajouté quelques manipulation supplémentaire dans mon script php de traitement afin de vérifier si le prénom et le nom correspondant et de vérifier s'il y a toutes les lettres dans le téléphone ou le zip, mais insère dans la DB produit.

L'utilisateur de db, que le script utilise uniquement a des droits de l'INSERT car nous avons juste prendre l'info et l'envoyer à la db. J'ai fait un autre utilisateur de db et changé mon script pour l'utiliser, et les INSERTs s'est arrêté.

Des idées de comment ils font cela ? Im ne savez pas comment ils utilisent db distant accès cause son seulement permise par IP parce qu'ils auraient nécessité un script chargé sur le serveur, ou accès distant db, corriger ?

Quelqu'un peut-il m'aider avec ce que je dois chercher ou un oeil de ? Im toujours pas certain que de toute façon ma logique pour capturer les informations de correspondance n'a pas à moins qu'il n'utilisait pas mon script??