Witam
Zastanawiam się nad bezpiecznym wywoływaniem zapytań sql z poziomu JS za pomocą PHP.

Poniżej skromny przykład:

Plik php

[PHP] pobierz, plaintext 
$_P = filtrPost($_POST);
 
$q = mysql_query($_P['query']);
 
if($_P['act'] == 'select')
{
  while($d = mysql_fetch_assoc($q))
  {
    foreach($d as $k => $dd)
    {
      echo $k.'[*sp*]'.$dd.'[*sp*]';
    }
  }
}
if($_P['act'] == 'add')
{
  if($q)
    echo mysql_insert_id();
  else
    echo 'error';
}
[PHP] pobierz, plaintext 

Plik JS

[PHP] pobierz, plaintext 
var sqlRequest = new Request({url: './engine.php'});
 
sqlRequest.post('act=select&query=SELECT * FROM tableName LIMIT 5;');
[PHP] pobierz, plaintext 

Teraz moje pytanie: Jak skutecznie zabezpieczyć się przed ludźmi z zewnątrz? Jak zabezpieczyć skrypt, żeby wywoływać go mogła jedynie osoba zalogowana i jedynie z adresu w którym znajduje się strona?

$_SERVER['HTTP_HOST'] ma sprawdzać czy jest taki jaki Ty chcesz jak inny to sio else { } a zalogowana osoba no to sejsa np zalogowany user dostaje $_SESSION['zalogowany'] = 1; i teraz if($_SESSION['zalogowany'] == 1) { wykonuje } else { zaloguj sie}

cos takiego

Doskonale wiem o takim zabezpieczeniu ale martwię się, że nie będzie ono zbyt skutecznym. Nie powinienem?

pytasz teraz o sesje czy o co

o to co napisałeś wyżej, mogę czuć się z tym bezpiecznie?

wydaje mi się, że jeśli ktoś nie będzie zalogowany to napewno, i w sumie host, nie slyszałem o czymś takim żeby dało sie go jakos nadpisac czy cos