Witam.

Chciałbym zabezpieczyć swój panel admina który opiera się na AJAXie o sprawdzanie adresu pochodzenia danych. Czyli po prostu aby skrypt zanim doda dane do bazy, sprawdził czy pochodzą z formularza z danego pliku i serwera. Czy ktoś mógłby mnie naprowadzić jak to zrobić? I czy w ogóle istnieje taka możliwość...

Pozdrawiam, Łukasz.

Jeśli chodzi o adres z którego pochodzą dane to ja robię tak

$page = $_SERVER['HTTP_HOST'];
if (!ereg($page, $_SERVER['HTTP_REFERER'])) {
header('Location: http://google.pl');
exit();
}

Refere ale da sie podszyc pod to. Trudno bedzie tak to w taki sposob zabezpieczyc. Mozesz ip sprawdzac i inne rzeczy to na pewno zmniejszy ryzyko podszycia sie pod danego klienta.

To mam jeszcze taką propozycję

<FORM action="form.php" method=post>
<INPUT class=inputbox size=15 name=login>
<INPUT class=inputbox type=password size=15 name=haslo>
<INPUT class=button type=submit value=Zaloguj name=submit>
</FORM>


if ($_POST['submit']!='Zaloguj') ... coś tam

Tu akurat nikt nie domyśli się że sprawdzam wartość submita.

Zdaje mi się że rozwiązaniem twojego problemu są tokeny.
Generujesz token na stronie z formularzem zapisujesz do pola typu hidden i do zmiennej sesyjnej no i na stronie do której wysyłasz dane porównujesz dwa tokeny.

Nie ważne skąd pochodzą dane tylko czy są bezpieczne i poprawne.