Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [AJAX][PHP]jak zabezpieczyc plik ajaxowy?
Forum PHP.pl > Forum > Przedszkole
elmozaur
Witajcie.
Mam skrypt ajaxowy ktory zadaje pytanie do pliku zadania.php.

Plik zadania.php odbiera zmienne z $_POST i cos tam sobie robi.

Pytanie: w jaki sposob zabezpieczyc plik zadania.php aby nawet przy wywolaniu bezposrednio w url (lub poprzez spreparowany formularz) aby nie zrobic za duzo zniszczen ?

za info z gory dziekuje
pozdrawiam
Grzegorz
esiek
poczytaj o zmiennych środowiskowych a konkretnie o $_SERVER['HTTP_REFERER']
mmica
Hey ;]
Możesz też zabezpieczyć skrypt poprzez dodanie jeszcze jednego pola typu "hidden" o nazwie "hash", w którym będziesz przetrzymywał datę z hash'em tej_daty+jakiegoś hasła w takiej formie: "dd-mm-yyyy_hash". Potem w Twoim skrypcie zadania.php:
  1. <?php
  2. $passwd = 'twoje_tajne_haslo';
  3. list($date, $hash) = explode('_', $_POST['hash']);
  4.  
  5. if(sha1($date.$passwd) != $hash)
  6. {
  7. die('Access denid!');
  8. }
  9.  
  10. // ... reszta kodu
  11. ?>

Rozwiązanie esiek'a ma jedną wadę.. zmienna $_SERVER['HTTP_REFERER'] jest przesyłana nagłówkiem, a każdy nagłówek pochodzi od użytkownika i jak wszystko pochodzące od niego - może zostać spreparowana. Używając jej do "autoryzacji" użytkownika, sami sobie piszemy luki w bezpieczeństwie, umożliwiające wykonywanie się skryptu nie po naszej myśli. Tyle z mojej strony.

Pozdrawiam,
mmica
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.