$_SERVER['HTTP_REFERER'] как узнать откуда пришел юзер?

@Olemar · Регистрация: 05.10.2010

Author24 — интернет-сервис помощи студентам

У меня есть страничка с логином и страничка на которую отправляет login.php в случае если логин и пароль в таблице. Теперь я хочу, чтобы вторая страница получала значение, с какой страницы зашли. Для этого использую $_SERVER['HTTP_REFERER'], вызываю phpinfo() на второй странице и нет никакого намёка на REFERER в разделе HTTP Headers Information... Проблема, как я понимаю в том, что я на странице login.php использую метод пост для вызова самой себя, что-бы проверить правильность ввода и с помощью javascript:location index.php, отправляю юзера на эту самую страницу #2. Так можно ли как нибудь несмортря на всё выше изложеное, получить имя страницы, от куда пришёл юзер???

@karbon · 30.10.2010, 12:28

Не знаю правильно ли я понял вопрос, но чем тебя не устраивает механизм сессий
для передачи информации откуда пришел клиент? Ведь странички у тебя в рамках
одного сервера?

@Olemar · 30.10.2010, 12:55 **[ТС]**

Резонный вопрос... Проблема в том, что сессии просто отключины на сервере, а то бы я и не спрашивал.

@karbon · 30.10.2010, 13:31

Дело в том, что во многих документациях говориться о том, что браузеры могут либо вообще не выставлять переменную HTTP_REFERER, либо выставлять ее не корректно. Более того, поскольку HTTP_REFERER приходит от клиента, то использование ее в процессе авторизацци вообще не желательно, так как ее можно легко подменить.
Что же касается отключенных сессий (хотя я первый раз слышу о таком), то это не беда. Сам механизм сессий не слишком сложен, и его вполне можно создать самому. Создавай для каждого пользователя временную запись в базе или уникальный файл. А идентификатор передавай либо через куки, либо через ссылку.

@Olemar · 30.10.2010, 15:21 **[ТС]**

В настоящий момент, я пишу при входе в шоп IP-Адрес в таблицу При совпадении Ника и пароля в туже строку. И когда шоп загружается, сравниваю IP по Нику с тем, что записано в таблице. Ник уникальный для каждого пользователя. Но я не знаю, не мало ли этого? Хотя кроме информации о самом пользователе защищать особенно нечего. Просто, если юзер раз зашёл в шоп, то может входить по ссылке без логина, пока его IP не изменился.

@karbon · 30.10.2010, 17:29

На мой взгляд делать авторизацию по ip не самый лучший вариант. В большинстве случаев ip динамический. Зашел юзер в твой шоп, авторизировался и тут у него рвется связь. А такое случается не редко. Он переконнективается, но ip у него уже другой, а тот, зарегистрированный ip уже у другого юзера и он выходит может спокойно ходить по шоу? А тот бедолага с плохой связью уже и зайти не сможет

P.S. я тоже как раз размышляю над авторизацией в интернет-магазине.

@Olemar · 30.10.2010, 17:45 **[ТС]**

да, с разрывом связи на мой взгляд, только куки смогут боротся. Хотя куки при авторизации вообще гиблое дело. А что касается IP, то предположим, что этот IP у другого клиента: 1. Он не знает Логина несчастного, у которого оборвалась связь. 2. это совершенно не вероятно, что злоумышленик получит IP несчастного и к тому же будет сёрфать именно этот же сайт. К тому же авторизация проходит не только по IP, но и по Нику. Только если эти две переменные совподают, можно зайти в шоп. А что касается несчастного, то ему придётся авторизироватся по-новой.

@Olemar · 30.10.2010, 17:52 **[ТС]**

По крайней мере это самое разумное, что мне пришло в голову на настоящий момент. Передавать имя пользователя и пароль на следующую страницу, это тоже самое, что и сказать всем желающим, что они могут тут 'поиметь' всех кого хотят, а передача только лишь Ника не опасно, ведь он защищён паролем, который выбрал себе юзер сам.

@karbon · 30.10.2010, 18:25

А кто говорит о передаче ника и пароля? Передавать нужно уникальный идентификатор, который присваивается юзеру при входе.

@Olemar 0 / 0 / 0 Регистрация: 05.10.2010 Сообщений: 46
		1
	$_SERVER['HTTP_REFERER'] как узнать откуда пришел юзер? 30.10.2010, 01:24. Показов 14663. Ответов 8 Метки нет (Все метки) У меня есть страничка с логином и страничка на которую отправляет login.php в случае если логин и пароль в таблице. Теперь я хочу, чтобы вторая страница получала значение, с какой страницы зашли. Для этого использую $_SERVER['HTTP_REFERER'], вызываю phpinfo() на второй странице и нет никакого намёка на REFERER в разделе HTTP Headers Information... Проблема, как я понимаю в том, что я на странице login.php использую метод пост для вызова самой себя, что-бы проверить правильность ввода и с помощью javascript:location index.php, отправляю юзера на эту самую страницу #2. Так можно ли как нибудь несмортря на всё выше изложеное, получить имя страницы, от куда пришёл юзер??? 0

@karbon 0 / 0 / 1 Регистрация: 03.08.2009 Сообщений: 72
	30.10.2010, 12:28	2
	Не знаю правильно ли я понял вопрос, но чем тебя не устраивает механизм сессий для передачи информации откуда пришел клиент? Ведь странички у тебя в рамках одного сервера? 0

@Olemar 0 / 0 / 0 Регистрация: 05.10.2010 Сообщений: 46
	30.10.2010, 12:55 [ТС]	3
	Резонный вопрос... Проблема в том, что сессии просто отключины на сервере, а то бы я и не спрашивал. 0

@karbon 0 / 0 / 1 Регистрация: 03.08.2009 Сообщений: 72
	30.10.2010, 13:31	4
	Дело в том, что во многих документациях говориться о том, что браузеры могут либо вообще не выставлять переменную HTTP_REFERER, либо выставлять ее не корректно. Более того, поскольку HTTP_REFERER приходит от клиента, то использование ее в процессе авторизацци вообще не желательно, так как ее можно легко подменить. Что же касается отключенных сессий (хотя я первый раз слышу о таком), то это не беда. Сам механизм сессий не слишком сложен, и его вполне можно создать самому. Создавай для каждого пользователя временную запись в базе или уникальный файл. А идентификатор передавай либо через куки, либо через ссылку. 0

@Olemar 0 / 0 / 0 Регистрация: 05.10.2010 Сообщений: 46
	30.10.2010, 15:21 [ТС]	5
	В настоящий момент, я пишу при входе в шоп IP-Адрес в таблицу При совпадении Ника и пароля в туже строку. И когда шоп загружается, сравниваю IP по Нику с тем, что записано в таблице. Ник уникальный для каждого пользователя. Но я не знаю, не мало ли этого? Хотя кроме информации о самом пользователе защищать особенно нечего. Просто, если юзер раз зашёл в шоп, то может входить по ссылке без логина, пока его IP не изменился. 0

@karbon 0 / 0 / 1 Регистрация: 03.08.2009 Сообщений: 72
	30.10.2010, 17:29	6
	На мой взгляд делать авторизацию по ip не самый лучший вариант. В большинстве случаев ip динамический. Зашел юзер в твой шоп, авторизировался и тут у него рвется связь. А такое случается не редко. Он переконнективается, но ip у него уже другой, а тот, зарегистрированный ip уже у другого юзера и он выходит может спокойно ходить по шоу? А тот бедолага с плохой связью уже и зайти не сможет P.S. я тоже как раз размышляю над авторизацией в интернет-магазине. 0

@Olemar 0 / 0 / 0 Регистрация: 05.10.2010 Сообщений: 46
	30.10.2010, 17:45 [ТС]	7
	да, с разрывом связи на мой взгляд, только куки смогут боротся. Хотя куки при авторизации вообще гиблое дело. А что касается IP, то предположим, что этот IP у другого клиента: 1. Он не знает Логина несчастного, у которого оборвалась связь. 2. это совершенно не вероятно, что злоумышленик получит IP несчастного и к тому же будет сёрфать именно этот же сайт. К тому же авторизация проходит не только по IP, но и по Нику. Только если эти две переменные совподают, можно зайти в шоп. А что касается несчастного, то ему придётся авторизироватся по-новой. 0

@Olemar 0 / 0 / 0 Регистрация: 05.10.2010 Сообщений: 46
	30.10.2010, 17:52 [ТС]	8
	По крайней мере это самое разумное, что мне пришло в голову на настоящий момент. Передавать имя пользователя и пароль на следующую страницу, это тоже самое, что и сказать всем желающим, что они могут тут 'поиметь' всех кого хотят, а передача только лишь Ника не опасно, ведь он защищён паролем, который выбрал себе юзер сам. 0

@karbon 0 / 0 / 1 Регистрация: 03.08.2009 Сообщений: 72
	30.10.2010, 18:25	9
	А кто говорит о передаче ника и пароля? Передавать нужно уникальный идентификатор, который присваивается юзеру при входе. 0