Zabezpieczanie przed ajaxem, jak? Opcje

[Major]

Jak już php.pl podało ajax jest to połączenie języków client side i server side. Niby jest to super, daje dużo możliwości, ale jest dość niebezpieczne.
Bo teraz za pomocą zwykłego pliku html będziemy mogli wyciągać pliki z haseł, np z phpbb'owego config.php

Można by zabronić uploadu plików htmlowskich, ale w niektorych serwisach raczej musza istniec, albo istnieja bo własciciel skryptu sie nie zna na php.

Znacie sposoby jak sie zabezpieczyc przez w/w systeme. Bo jednak chce go zastosowac, lecz obawiam sie o wypływanie danych z plików.

Naszczescie hostingodawcy tego nie instalują lecz co będzie za kilka miesiecy/tygodni? ALbo na własnych dedykach?

[dasko]

Bo teraz za pomocą zwykłego pliku html będziemy mogli wyciągać pliki z haseł, np z phpbb'owego config.php

Lol? Tenże config.php ma takie coś?

[PHP] pobierz, plaintext 
<?php
 
//....
echo $haslo;
//....
 
?>
[PHP] pobierz, plaintext 

Obawiam się, że nie.

Nie wiem, czy do końca rozumiesz XMLHttpRequest - owszem, skrypt można wywołać, ale odpowiedź to tylko zwykły tekst(responseText) lub czysty XML(responseXML), jeśli skrypt nie generuje żadnego wyjścia, w odpowiedzi nie dostaniesz nic. To tak, jakbyś w przeglądarce wpisał adres tego configa. AJAX polega na wywoływaniu innej strony 'w tle' i ewentualnym odbieraniu wyjścia. Nie ma więc żadnego niebezpieczeństwa ;]

[mike]

Naszczescie hostingodawcy tego nie instalują ( ... )

Uwaga (IMG:http://forum.php.pl/style_emoticons/default/exclamation.gif) !
Pdaję opis instalacji:

[PHP] pobierz, plaintext 
<?php
 
require_once( 'Sajax.php' );
 
?>
[PHP] pobierz, plaintext 

(IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
Obawiam sie, że hostingodawcy nie mają tu za wiele do gadania (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

[Major]

A no chyba że tak, wiec nie ma sie czego obawiac (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
No chyba że ktoś coś wymysli (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)