Скрытие полей формы средствами php

@gamesoneve · Регистрация: 13.09.2012

Студворк — интернет-сервис помощи студентам

здравствуйте.
есть обычная html форма с парой текстовых полей и кнопкой отправить. Можно как-нибудь скрыть поле, чтобы его небыло видно в исходном коде? то есть пока не отправишь форму этих полей нет.
html До отправки формы:

HTML5
1
2
3
<form method="post">
    <input type="submit" />
</form>

после отправки:

HTML5
1
2
3
4
5
<form method="post">
    <input type="hidden" name="hiddenarea" />
    <input type="hidden" name="area2" />
    <input type="submit" />
</form>

KOPOJI · 22.09.2012, 16:01

скрыть - можно. но данные из них получить возможно только при повторной отправке

@gamesoneve · 22.09.2012, 16:19 **[ТС]**

просто нужно сделать запрос post'om или по адресной строке, но чтобы человек этого не видел ))) ломаю голову не могу сообразить как

DrobyshevAlex · 22.09.2012, 16:28

Что бы "просто" не видел это одно, и так сделать можно запутав код, например добавив js или шифрование к данным.
Но что бы он не мог получить доступ даже просмотрев html и js код - это другое, всё что уходит от клиента на сервер, можно в любом случае посмотреть, например снифером, или написав небольшой скрипт в консоле браузера.

@gamesoneve · 22.09.2012, 17:02 **[ТС]**

js точно для этого не подойдет

хотел что-нибудь хитрое на php написать для этой цели

Добавлено через 17 минут
а если использовать функцию

PHP
1
fopen('http://url.ru?par1=4&par2=5', 'r');

сможет ли она спровоцировать выполнение скрипта на другом сервере?

DrobyshevAlex · 24.09.2012, 12:52

POST с помощью cURL нужно слать. А так только GET параметры уйдут да и то при условии разрешения в php.ini удалённого открытия файлов

crautcher · 24.09.2012, 13:08

я так понимаю хиден поля не статичны - вы их генерите как-то , можно узнать что там находится ?

@gamesoneve · 24.09.2012, 18:57 **[ТС]**

хочу сделать стабильную работу с платёжной системой. Очень хочется сделать, чтобы небыло возможности с другого сайта взаимодействовать со своим сайтом. Там при отправке формы задаются параметры, куда человек будет перенаправлен при успешной операции и при неудачной. собственно неудачная меня мало интересует, а вот на странице, обрабатывающей успешную отправку нужна надежная защита, так как сейчас там просто проверяет существует ли post запрос. получается с любого сайта на любой кошелек можно перевести деньги, и указать при этом перенаправление на ту же страницу которая стоит у меня - данные спокойно запишутся ко мне в бд, и такая система проживет очень недолго...
в этом самом скрытом поле, которое посторонние не должны видеть будет содержаться случайно сгенерированное число, которое при получении формы обратно будет сверяться с числом в базе данных, и при несовпадении выдавать ошибку. Если есть какой-нибудь более простой но не менее нажёжный способ организовать такую проверку буду рад услышать.

Добавлено через 2 минуты
DrobyshevAlex можно пожалуйста немного поподробней про cUrl? Раньше никогда не сталкивался с ним

@basili4 · 24.09.2012, 19:01

1. https
отсылать не случайное число а md5(данные из формы + секретный ключ) и проверять на сайте.
сам секретный ключ хранить на сервере. без него подделать запрос к серверу не получится.

DrobyshevAlex · 24.09.2012, 19:03

Сообщение от gamesoneve

Там при отправке формы задаются параметры, куда человек будет перенаправлен при успешной операции и при неудачной.

Либо откажитесь от этой платёжной системы, потому что не одна более менее приличная платёжная система не сделает только такого способа

Либо у них не только такой способ, а есть ещё и возможность указать в настройках этих URL. Так вот в настройках и задайте.

Сообщение от gamesoneve

а вот на странице, обрабатывающей успешную отправку нужна надежная защита, так как сейчас там просто проверяет существует ли post запрос. получается с любого сайта на любой кошелек можно перевести деньги, и указать при этом перенаправление на ту же страницу которая стоит у меня - данные спокойно запишутся ко мне в бд, и такая система проживет очень недолго...

А что вам мешает сделать эту проверку? Как правило все платёжные системы предаставляю.т возможность указать пароль в настройках а потом шлют без этого пароля, проверочный hash код который включает в себя этот пароль, как раз для того что бы проверять данные. Передаёте id товара, сумму платежа и храните в бд у сетя со статусом - не оплачен. После оплаты проверяете те данные что пришли, а потом проверяете в бд соответсвие, есть ли такой ид? не был ли он уже оплачен? совпала ли сумма?
И решаете, выдавать то что купили или нет.

@gamesoneve · 24.09.2012, 19:04 **[ТС]**

а с помощью cURL можно отсылать данные по url (адресной строке), чтобы при этом человек не знал, что такой запрос происходит?

DrobyshevAlex · 24.09.2012, 19:05

Можно, но не нужно, сделайте всё правильно а не с помощью хаков

@gamesoneve · 24.09.2012, 19:08 **[ТС]**

DrobyshevAlex смотрел на этом сайте автоматическое создание формы, там можно указать дополнительные поля - имя -значение, которые они вернут после операции, но толк помоему от них никакой. В настройках есть 3 типа запроса: post, get и link

Добавлено через 1 минуту
Просто в этом адресе обязательно должен быть мой пароль и логин от платёжки

)) поэтому мне кажется для людей это совсем лишняя информация))))

DrobyshevAlex · 24.09.2012, 19:20

Можно узнать что это за система такая платёжная? Что то я не верю в такое, или напишите им в саппорт, что так нельзя делать

@gamesoneve · 24.09.2012, 19:21 **[ТС]**

perfectmoney.com

Добавлено через 59 секунд

Сообщение от basili4

1. https
отсылать не случайное число а md5(данные из формы + секретный ключ) и проверять на сайте.
сам секретный ключ хранить на сервере. без него подделать запрос к серверу не получится.

не понимаю =\ ведь любой зайдя в исходный код видит полностью форму со всеми полями. если он скопирует её к себе хотя бы на комп и отправит, в конечном результате будь там md5, или другие зашифрованные данные, каким образом обработчик на сайте сможет выявить, что это злоумышленник %)

@basili4 · 24.09.2012, 19:26

ну md5 то поделать не сможет. Вы на стороне сервера проверяйте и все левые формы отбрасывайте

DrobyshevAlex · 24.09.2012, 19:28

Вы пост под номером 10 читали?

Сообщение от DrobyshevAlex

После оплаты проверяете те данные что пришли, а потом проверяете в бд соответсвие, есть ли такой ид? не был ли он уже оплачен? совпала ли сумма?

Если он дважды отправит ту же форму - вы выводите что товар уже оплачен!
Если он подменит данные, то он не сможет на основе hash кода с формы, не зная вашего пароля в системе, построить новый hash код.

@gamesoneve · 24.09.2012, 19:29 **[ТС]**

ну вот получается форма, в ней как сгенерируется страница уже будет зашифрованное значение лежать, если копирнуть форму и отправить с этим зашифрованным значением, оно точно также переведется в нормальное как если бы было отправлено с сайта. может я туплю, или чего-то не понимаю в этой схеме

Dmitry · 24.09.2012, 19:32

Сообщение от gamesoneve

perfectmoney.com

https://perfectmoney.com/sample-api.html

@gamesoneve · 24.09.2012, 19:35 **[ТС]**

наверное стоит поглубже покопаться в этих манях...

Добавлено через 2 минуты
Dmitry видел эту страницу

) даже скачивал api.doc с примерочными скраптами, которые почему-то не хотят работать

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .
SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	22.09.2012, 16:01
	скрыть - можно. но данные из них получить возможно только при повторной отправке 0

@gamesoneve 1 / 1 / 0 Регистрация: 13.09.2012 Сообщений: 94
	22.09.2012, 16:19 [ТС]
	просто нужно сделать запрос post'om или по адресной строке, но чтобы человек этого не видел ))) ломаю голову не могу сообразить как 0

DrobyshevAlex 1178 / 1128 / 94 Регистрация: 31.05.2012 Сообщений: 3,060
	22.09.2012, 16:28
	Что бы "просто" не видел это одно, и так сделать можно запутав код, например добавив js или шифрование к данным. Но что бы он не мог получить доступ даже просмотрев html и js код - это другое, всё что уходит от клиента на сервер, можно в любом случае посмотреть, например снифером, или написав небольшой скрипт в консоле браузера. 0

DrobyshevAlex 1178 / 1128 / 94 Регистрация: 31.05.2012 Сообщений: 3,060
	24.09.2012, 12:52
	POST с помощью cURL нужно слать. А так только GET параметры уйдут да и то при условии разрешения в php.ini удалённого открытия файлов 1

crautcher 2450 / 2301 / 597 Регистрация: 27.05.2011 Сообщений: 7,845
	24.09.2012, 13:08
	я так понимаю хиден поля не статичны - вы их генерите как-то , можно узнать что там находится ? 0

@gamesoneve 1 / 1 / 0 Регистрация: 13.09.2012 Сообщений: 94
	24.09.2012, 18:57 [ТС]
	хочу сделать стабильную работу с платёжной системой. Очень хочется сделать, чтобы небыло возможности с другого сайта взаимодействовать со своим сайтом. Там при отправке формы задаются параметры, куда человек будет перенаправлен при успешной операции и при неудачной. собственно неудачная меня мало интересует, а вот на странице, обрабатывающей успешную отправку нужна надежная защита, так как сейчас там просто проверяет существует ли post запрос. получается с любого сайта на любой кошелек можно перевести деньги, и указать при этом перенаправление на ту же страницу которая стоит у меня - данные спокойно запишутся ко мне в бд, и такая система проживет очень недолго... в этом самом скрытом поле, которое посторонние не должны видеть будет содержаться случайно сгенерированное число, которое при получении формы обратно будет сверяться с числом в базе данных, и при несовпадении выдавать ошибку. Если есть какой-нибудь более простой но не менее нажёжный способ организовать такую проверку буду рад услышать. Добавлено через 2 минуты DrobyshevAlex можно пожалуйста немного поподробней про cUrl? Раньше никогда не сталкивался с ним 0

@basili4 201 / 199 / 4 Регистрация: 13.06.2012 Сообщений: 1,009 Записей в блоге: 3
	24.09.2012, 19:01
	1. https отсылать не случайное число а md5(данные из формы + секретный ключ) и проверять на сайте. сам секретный ключ хранить на сервере. без него подделать запрос к серверу не получится. 1

@gamesoneve 1 / 1 / 0 Регистрация: 13.09.2012 Сообщений: 94
	24.09.2012, 19:04 [ТС]
	а с помощью cURL можно отсылать данные по url (адресной строке), чтобы при этом человек не знал, что такой запрос происходит? 0

DrobyshevAlex 1178 / 1128 / 94 Регистрация: 31.05.2012 Сообщений: 3,060
	24.09.2012, 19:05
	Можно, но не нужно, сделайте всё правильно а не с помощью хаков 0

@gamesoneve 1 / 1 / 0 Регистрация: 13.09.2012 Сообщений: 94
	24.09.2012, 19:08 [ТС]
	DrobyshevAlex смотрел на этом сайте автоматическое создание формы, там можно указать дополнительные поля - имя -значение, которые они вернут после операции, но толк помоему от них никакой. В настройках есть 3 типа запроса: post, get и link Добавлено через 1 минуту Просто в этом адресе обязательно должен быть мой пароль и логин от платёжки )) поэтому мне кажется для людей это совсем лишняя информация)))) 0

DrobyshevAlex 1178 / 1128 / 94 Регистрация: 31.05.2012 Сообщений: 3,060
	24.09.2012, 19:20
	Можно узнать что это за система такая платёжная? Что то я не верю в такое, или напишите им в саппорт, что так нельзя делать 0

@basili4 201 / 199 / 4 Регистрация: 13.06.2012 Сообщений: 1,009 Записей в блоге: 3
	24.09.2012, 19:26
	ну md5 то поделать не сможет. Вы на стороне сервера проверяйте и все левые формы отбрасывайте 0

@gamesoneve 1 / 1 / 0 Регистрация: 13.09.2012 Сообщений: 94
	24.09.2012, 19:29 [ТС]
	ну вот получается форма, в ней как сгенерируется страница уже будет зашифрованное значение лежать, если копирнуть форму и отправить с этим зашифрованным значением, оно точно также переведется в нормальное как если бы было отправлено с сайта. может я туплю, или чего-то не понимаю в этой схеме 0

@gamesoneve 1 / 1 / 0 Регистрация: 13.09.2012 Сообщений: 94
	24.09.2012, 19:35 [ТС]
	наверное стоит поглубже покопаться в этих манях... Добавлено через 2 минуты Dmitry видел эту страницу) даже скачивал api.doc с примерочными скраптами, которые почему-то не хотят работать 0