Segurança

[Guest - proteggere -]

eu tenho um mural em meu site...

nesse mural tenho um formulário de evio com um action no arquivo inserir.php conforme código abaixo.

Tanto o formulário de envio quanto o inserir.php estão dentro da pasta public_html,

de forma que não tenho como bloquear esse diretório.

O problema é que quando algum post é enviado o endereço do inserir.php é mostrado no histórico. E quando essa página é acessada cria um novo post em branco lá no mural.

Tem alguma maneira de bloquear o endereço para não aparecer no histórico, ou de mover esse arquivo para dentro de um diretório protegido (tentei, mas se eu movo o arquivo inserir.php para dentro de um diretório protegido dai ele pede senha para o envio), ou até mesmo de bloquear a ação desse código quando ele é acessado diretamente?

<?

include "adminmaster/f_config.php";

$titulo = $_POST['titulo'];

$noticia = nl2br($_POST['noticia']);

$autor = $_POST['autor'];

$data = date("Y-m-d", time());

$x = mysql_query("INSERT INTO adminforum (titulo,noticia,autor,data) VALUES ('$titulo','$noticia','$autor','$data')");

if($x){echo"Sua postagem foi feita com sucesso...<br><a href=forum.php target=default>.: Voltar :.</a>";

}else{

echo"o envio não pode ser efetuado";

}

?>

[gladiador]

/* pode proteger po htaccess no próprio server */

[Guest - proteggere -]

não conheço esse método...

é pelo cpanel?

[gladiador]

/* isto , pode ser feito pelo painel */

[Guest - proteggere -]

Cara eu não sei como faz isso...

se puder dar uma explicado fico grato.

[jissa]

Olá,

Proteger o Diretorio para envio de um POST não vai ser a sua solução, faça um teste nos valor para ver se esta em branco antes de salvar, se estiver volte para a tela anterior, assim se acessarem direto a pagina os nomes vão estar em branco e não vai gravar nada, vai voltar para a pagina anterior, caso queira pode colocar um location e mandar para a pagina de envio da mensagem no mural.

ve se resolve:

<?
include "adminmaster/f_config.php";

$titulo = $_POST['titulo'];
$noticia = nl2br($_POST['noticia']);
$autor = $_POST['autor'];
$data = date("Y-m-d", time());

if(empty(trim($titulo)) or empty(trim($noticias)) or empt(trim($autor)))
{
    echo "<script>alert('Necessário o Preenchimento de Todos os campos');</script>";
    echo "<script>history.back(1);</script>";
    exit;
}

$x = mysql_query("INSERT INTO adminforum (titulo,noticia,autor,data) VALUES ('$titulo','$noticia','$autor','$data')");
if($x){echo"Sua postagem foi feita com sucesso...<br><a href=forum.php target=default>.: Voltar :.</a>";
}else{
echo"o envio não pode ser efetuado";
}
?>

[Guest - proteggere -]

BOA IDÉIA...

SÓQ UE DANDO ERRO NA LINHA

if(empty(trim($titulo)) or empty(trim($noticias)) or empty(trim($autor)))

[Guest Guest]

que erro?

[Guest protegerre]

Parse error: parse error, unexpected T_STRING, expecting T_VARIABLE or '$'

[Guest - proteggere -]

E AI ALGUÉM SABE COMO RESOLVER ESSE ERRO?

[jissa]

o erro pode não estar ai, e sim em outra parte, se não for muito grande o codigo coloque ele aqui

[jissa]

** tenta tirar o s de $noticias a sua variavel é $noticia

[fercosmig]

um tuto de .htaccess bem legal

http://www.mdig.com.br/index.php?itemid=73&catid=7