Узнать, откуда пришли данные

@ProstoMad · Регистрация: 30.06.2010

Студворк — интернет-сервис помощи студентам

Как можно узнать, откуда пришли данные на страницу?
Например код на странице code.php, на него отправляются данные с send.php (method = post). Как можно узнать, что данные пришли с send.php?

Vovan-VE · 31.08.2012, 12:21

Сообщение от ProstoMad

Как можно узнать, что данные пришли с send.php?

$_SERVER['HTTP_REFERER'] - содержит урл из заголовка Referer. Но он может отсутствовать и его можно подделать.

@ProstoMad · 31.08.2012, 12:50 **[ТС]**

Как тогда можно получить данные, без подмены, со стороннего сайта, к которому у пользователя не будет доступа?

Vovan-VE · 31.08.2012, 13:01

Сообщение от ProstoMad

Как тогда можно получить данные, без подмены, со стороннего сайта, к которому у пользователя не будет доступа?

Вестимо, пользователь для этого не нужен, раз у него нет доступа. Прямое общение обоих сервером между собой.

@ProstoMad · 31.08.2012, 13:11 **[ТС]**

Кто-нибудь работал с WebMoney? Помогите разобраться с безопасностью. я принимаю все значения оплаты(кошелёк вмид и т.д.) Но это всё можно подделать.

Vovan-VE · 31.08.2012, 13:14

Сообщение от ProstoMad

Кто-нибудь работал с WebMoney? Помогите разобраться с безопасностью. я принимаю все значения оплаты(кошелёк вмид и т.д.) Но это всё можно подделать.

Там же помимо инфы приходит и еще много чего, и контрольная сумма, в вычислении которой участвует секретное слово. http://wiki.webmoney.ru/projec... nterface#4

@ProstoMad · 31.08.2012, 13:26 **[ТС]**

Сообщение от Vovan-VE

Там же помимо инфы приходит и еще много чего, и контрольная сумма, в вычислении которой участвует секретное слово. http://wiki.webmoney.ru/projec... nterface#4

вот я и принимаю все значения Формы оповещения о платеже. Но ведь эти значения можно и подделать. А я не знаю как защитить от этого

Добавлено через 8 минут
http://wiki.webmoney.ru/projec... terface#14
вот тут написанно как проверить подлинность, но это ведь не прямое взаимодействие сервисаВМ и сайта, а то же через пользователя. т.е. он снова может подделать всё это. Или я не так понял?

Vovan-VE · 31.08.2012, 14:08

Сообщение от ProstoMad

может подделать всё это. Или я не так понял?

Секретный ключ известен только Вам (владельцу) и Сервису. Секретный ключ не передаётся в запросах в открытом виде. И сервис, и Вы вычисляете контрольную сумму по одному и тому же алгоритму: md5(данные+данные+ключ). Сервис передаёт Вам значение контрольной суммы, которое получилось у него. Вы у себя вычисляете контрольную сумму того, что Вам пришло, и сравниваете её с указанной контрольной суммой, которую Вам передал Серсис.
Если вычисляете правильно, то сумма сойдется, только если отправитель знает секретное слово. А его, опять же, знаете только Вы и Сервис.

@ProstoMad · 31.08.2012, 17:46 **[ТС]**

Только я всё не могу разобраться с секретным ключём.

При формировании контрольной подписи сервис Web Merchant Interface "склеивает" значения полей, передаваемых "Формой оповещения о платеже", в одну строку в следующем порядке:
1.Кошелек продавца (LMI_PAYEE_PURSE);
2.Сумма платежа (LMI_PAYMENT_AMOUNT);
3.Внутренний номер покупки продавца (LMI_PAYMENT_NO);
4.Флаг тестового режима (LMI_MODE);
5.Внутренний номер счета в системе WebMoney Transfer (LMI_SYS_INVS_NO);
6.Внутренний номер платежа в системе WebMoney Transfer (LMI_SYS_TRANS_NO);
7.Дата и время выполнения платежа (LMI_SYS_TRANS_DATE);
8.Secret Key (LMI_SECRET_KEY);
9.Кошелек покупателя (LMI_PAYER_PURSE);
10.WMId покупателя (LMI_PAYER_WM).

Из 8.Secret Key принимается ключ зашифрованный в MD5 или нет? если да, то получается все данные в нормальном виде, а кей в МД5 передаётся в склеинном виде и всё это склеинное шифруется в МД5?

Vovan-VE · 31.08.2012, 17:48

ProstoMad, Значения указанных полей склеиваются, как есть, и от получившейся строки вычисляется MD5.

@ProstoMad · 31.08.2012, 18:31 **[ТС]**

И надо принимать этот кей или писать его в нормальном виде и вставлять в склеинное?

Добавлено через 42 минуты

MD5
Сформируйте строку путем "склеивания" значений параметров, полученных через "Форму оповещения о платеже", в том же порядке, что и при формировании контрольной подписи в сервисе Web Merchant Interface (см. выше). Помните, что при формировании подписи используется Secret Key.
Вычислите MD5 полученной строки. Переведите результат в верхний регистр.
Сравните полученное значение с значением параметра "LMI_HASH", полученного через "Форму оповещения о платеже". Если сформированная подпись совпадает с полученной через "Форму оповещения о платеже", данные не изменены, и источник данных действительно сервис Web Merchant Interface.

т.е. при проверке используются данные, которые приходят. Приходит и LMI_HASH и то, что склеивается. LMI_SECRET_KEY На сколько понял приходит в md5. т.е. у меня ничего не остается такого, чего бы не передавалось через пользователя. Тот же кей передаётся через него. Если он подделает LMI_HASH и то, что склеивается(а то, что склеивается, всё передаётся ПОСТом на скрипт), то может обойти всё это. Я думаю что я не прав, т.к. всё таки это ВебМани, НО я не понимаю, где эта проверка, которую не подделать.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .	SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .
SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .

@ProstoMad 50 / 40 / 5 Регистрация: 30.06.2010 Сообщений: 1,191

	Узнать, откуда пришли данные 31.08.2012, 12:14. Показов 4396. Ответов 10 Метки нет (Все метки) Как можно узнать, откуда пришли данные на страницу? Например код на странице code.php, на него отправляются данные с send.php (method = post). Как можно узнать, что данные пришли с send.php? 0

@ProstoMad 50 / 40 / 5 Регистрация: 30.06.2010 Сообщений: 1,191
	31.08.2012, 12:50 [ТС]
	Как тогда можно получить данные, без подмены, со стороннего сайта, к которому у пользователя не будет доступа? 0

@ProstoMad 50 / 40 / 5 Регистрация: 30.06.2010 Сообщений: 1,191
	31.08.2012, 13:11 [ТС]
	Кто-нибудь работал с WebMoney? Помогите разобраться с безопасностью. я принимаю все значения оплаты(кошелёк вмид и т.д.) Но это всё можно подделать. 0

Vovan-VE 13210 / 6599 / 1041 Регистрация: 10.01.2008 Сообщений: 15,069
	31.08.2012, 17:48
	ProstoMad, Значения указанных полей склеиваются, как есть, и от получившейся строки вычисляется MD5. 0