سلام
من یه صفحه ورود به پنل کاربر html دارم که با کمک jquery به صورت Ajax با متد پست یوزر و پسورد وارد شده رو به یک فایل php میفرسته تا از دیتابیس بررسی شود یوزر و پسورد درست هست یا نه

مشکل اینجا هست که من میخوام بفهمم url این صفحه html که یوزر و پس به php چیه
تا هنگام فرستادن درخواست از صفحه های html دیگه (هکر) که url آنها مال سایت من نیست جلو گیری شود
یعنی هکر یک صفحه html نسازه بعد هی درخواست چک یوزر و پسورد رو به صفحه php من بفرسته
تا ترافیک سایت رو بره بالا هم پسورد آن یوزر رو کرک کنه

سلام
من یه صفحه ورود به پنل کاربر html دارم که با کمک jquery به صورت Ajax با متد پست یوزر و پسورد وارد شده رو به یک فایل php میفرسته تا از دیتابیس بررسی شود یوزر و پسورد درست هست یا نه

مشکل اینجا هست که من میخوام بفهمم url این صفحه html که یوزر و پس به php چیه
تا هنگام فرستادن درخواست از صفحه های html دیگه (هکر) که url آنها مال سایت من نیست جلو گیری شود
یعنی هکر یک صفحه html نسازه بعد هی درخواست چک یوزر و پسورد رو به صفحه php من بفرسته
تا ترافیک سایت رو بره بالا هم پسورد آن یوزر رو کرک کنه

فهمیدن Url کمکی به جلوگیری هک نمیکنه ، چون به سادگی قابل دور زدن است .

در فرم خود از کپتچا استفاده کنید و همچنین در سایت ورودی را چک کنید و اگر آی پی در کمتر از 1 دقیقه اقدام به ارسال مثلا 5 پست کرد آی پی را برای یک مدت مثلا 1 ساعت بلاک کنید.

پ ن : کپتچا اگر قوی باشد عملکرد خیلی خوبی دارد و دیگه نیاز به هیچ چیز نیست ...

شما برای اینکار باید از توکن در فرمتان استفاده کنید و توکن را در سشن قرار دهید و هر بار بررسی کنید توکن ارسالی از فرم با توکن ذخیره شده در سشن یکی باشد

شما برای اینکار باید از توکن در فرمتان استفاده کنید و توکن را در سشن قرار دهید و هر بار بررسی کنید توکن ارسالی از فرم با توکن ذخیره شده در سشن یکی باشد

ربات یک مرحله فرم را لود میکند ، توکن و سشن id را برمیدارد و دفعه بعد همان ها را با اطلاعات خودش پست میکند ...

تمامی روشهای Csrf یا بررسی ریفرال و ... را من امتحان کردم همشون قابل دور زدن است .

کپتچا هم با سرویس های Captcha solver قابل دور زدن است ، ولی چون 99 درصد سایتها ارزش زمان گذاشتن را ندارند کسی برای سایت های معمولی این کار ها را نمیکند .