Forum PHP.pl

Dzięki RewriteRule odwołuję się ajaxem do plików php ze strony index.php ... Jak mógłbym zabezpieczyć wejście bezpośrednie z użyciem RR w adresie? Obecnie w pliku tym który prowadzi z RR sprawdzam czy adres się zgadza (index.php = stronaglowna w RR) Jednak czy istnieje inna możliwość?

[PHP] pobierz, plaintext 
<?php
$domena = $_SERVER['HTTP_REFERER'];
if ($domena != 'http://domena/stronaglowna'){    echo'nie jest'; //przekierowanie }
?>
[PHP] pobierz, plaintext 

Po prostu chciałbym ograniczyć przeglądanie tych plików bezpośrednio, mają one być tylko dostępne z poziomu index.php/zalogowania.

Ten post edytował !*! 28.06.2009, 12:08:01

możesz w oparciu o sessje sprawdzać czy zapytanie wysyła osoba zalogowana (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Nie mogę, sesje działają w obrębie przeglądarki, więc jeśli otworzę kolejną kartę w której dam bezpośredni adres to sesja i tak będzie działać.

http://www.beldzio.com/bezpieczenstwo-dostepu-do-plikow - na dole opis (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Większość frameworków JS wysyła nagłówek X-Requested-With . Sprawdzaj czy istnieje. na refererze nie możesz polegać.

bełdzio ok, tylko jednego nie rozumiem...

przykładowo zrobiłem katalog test ponad katalogiem public_html ... w nim umieściłem przykładowy plik do wczytania, przez plik który znajduje się w publicu ... podanie ścieżki na sztywno w include zadziała:

[PHP] pobierz, plaintext 
<?php include '../test/plik.php'; ?>
[PHP] pobierz, plaintext 

ale jak to zapisać w RR?

a kto mi zabroni przesłań nagłówka "X-Requested-With" w zwykłym zapytaniu? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)


kieruj do pliku ktory znajduje sie w public_html i w nim go inkluduj dodając odpowiednie filtry, np generuj token, na podstawie ktorego bedziesz spr czy odwolanie do pliku nastapilo bezposrednio czy z wykorzystaniem pliku posredniego - na blogasku w notce o CSRF masz cos o generowaniu tokenow

a jak sprawdzić z jakiego pliku zostało to wykonane? Poza tym, w każdym "wczytywanym" pliku przez ajax jest sprawdzanie sesji, loginu, useragenta itp. coś jeszcze dodać, o to Ci chodziło?

Ten post edytował !*! 28.06.2009, 18:55:58

wchodzisz na strone A -> generowany jest i wsadzany do sesji token -> w kodzie strony A wywolujesz plik B przy pomocy ajaxa -> w pliku B spr czy przekazany GETem token jest taki sam jak w sesji -> jesli nie exit (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Bezpośrednio GETem w przeglądarce nie wyślesz nagłówka a o to autor pytał. Twoje zastosowanie bezpośrednio nic nie daje bo wystarczy że odwiedzę stronę i już mam wygenerowaną sesję co za tym idzie token. Aby to dobrze działało trzeba by połączyć kilka technik ekstra nagłówki, double cookie czy przesyłanie tylko POSTem.

Ten post edytował viking 29.06.2009, 06:03:59

a kto mi zabroni napisac skrypt w perlu ktory doda taki naglowek?

a co do tokena, to generujesz go przy kazdym odswiezeniu, czyli wazny jest tylko na 1 zapytanie