Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [AJAX][PHP]jak zabezpieczyc plik ajaxowy?
Forum PHP.pl > Forum > Przedszkole
elmozaur
5.12.2010, 20:08:18
Witajcie.
Mam skrypt ajaxowy ktory zadaje pytanie do pliku zadania.php.

Plik zadania.php odbiera zmienne z $_POST i cos tam sobie robi.

Pytanie: w jaki sposob zabezpieczyc plik zadania.php aby nawet przy wywolaniu bezposrednio w url (lub poprzez spreparowany formularz) aby nie zrobic za duzo zniszczen ?

za info z gory dziekuje
pozdrawiam
Grzegorz
esiek
5.12.2010, 20:15:40
poczytaj o zmiennych środowiskowych a konkretnie o $_SERVER['HTTP_REFERER']
mmica
5.12.2010, 20:41:15
Hey ;]
Możesz też zabezpieczyć skrypt poprzez dodanie jeszcze jednego pola typu "hidden" o nazwie "hash", w którym będziesz przetrzymywał datę z hash'em tej_daty+jakiegoś hasła w takiej formie: "dd-mm-yyyy_hash". Potem w Twoim skrypcie zadania.php:
[PHP] pobierz, plaintext 
  1. <?php
  2. 	$passwd = 'twoje_tajne_haslo';
  3. 	list($date, $hash) = explode('_', $_POST['hash']);
  4.  
  5. 	if(sha1($date.$passwd) != $hash)
  6. 	{
  7. 		die('Access denid!');
  8. 	}
  9.  
  10. 	// ... reszta kodu
  11. ?>
[PHP] pobierz, plaintext

Rozwiązanie esiek'a ma jedną wadę.. zmienna $_SERVER['HTTP_REFERER'] jest przesyłana nagłówkiem, a każdy nagłówek pochodzi od użytkownika i jak wszystko pochodzące od niego - może zostać spreparowana. Używając jej do "autoryzacji" użytkownika, sami sobie piszemy luki w bezpieczeństwie, umożliwiające wykonywanie się skryptu nie po naszej myśli. Tyle z mojej strony.

Pozdrawiam,
mmica
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.