Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Łączenie się ze skryptem AJAX z poziomu PHP
Michael2318
post
Post #1





Grupa: Zarejestrowani
Postów: 651
Pomógł: 116
Dołączył: 3.06.2012
Skąd: Lędziny

Ostrzeżenie: (0%)
-----

Jako, że na ajax'ie się nie znam, kiedyś pytałem tutaj jak rozpoznać czy z danym plikiem łączy się skrypt ajax czy też człowiek. Poradzono mi takie rozwiązanie:

[PHP] pobierz, plaintext 
  1. define('IS_AJAX', isset($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest');
  2.  
  3. if ( !IS_AJAX )
  4. {
  5.    die('to czlowiek sie laczy!!!');
  6. }
  7. else
  8. {
  9.    // skrypt ajax
  10. }
[PHP] pobierz, plaintext


Pytałem też i nie tylko tutaj czy to jest bezpieczne, czy nikt się przez to nie przebije poza samym ajax'em i dostałem odpowiedzi, że nie, że to tylko ajax takie nagłówki wysyła. Dziś mi facet pokazuje, jak mój skrypt obejść w 30 sekund, wysyłając za pomocą curl'a powyższy nagłówek...
Więc zapytam jeszcze raz - czy jest jakiś sensowny sposób na zabezpieczenie skryptu tak, aby dany plik .php mógł odpalić TYLKO ajax?

Ten post edytował Michael2318 8.01.2013, 17:21:24
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi (1 - 4)
CuteOne
post
Post #2





Grupa: Zarejestrowani
Postów: 2 958
Pomógł: 574
Dołączył: 23.09.2008
Skąd: wiesz, że tu jestem?

Ostrzeżenie: (0%)
-----

Na szczęście nie ma takiego (IMG:style_emoticons/default/smile.gif)
Go to the top of the page
+Quote Post
lukaskolista
post
Post #3





Grupa: Zarejestrowani
Postów: 872
Pomógł: 94
Dołączył: 31.03.2010

Ostrzeżenie: (0%)
-----

Tylko po co utrudniac sobie zycie? Co za roznica czy to ajax czy nie ajax? Dam Ci rade: odpusc sobie takie pseudo zabezpieczenia i skup sie na tym, co na prawde wazne (SQL injection, XSS).
Go to the top of the page
+Quote Post
Michael2318
post
Post #4





Grupa: Zarejestrowani
Postów: 651
Pomógł: 116
Dołączył: 3.06.2012
Skąd: Lędziny

Ostrzeżenie: (0%)
-----

Cytat(lukaskolista @ 9.01.2013, 08:32:28 ) *
Tylko po co utrudniac sobie zycie? Co za roznica czy to ajax czy nie ajax? Dam Ci rade: odpusc sobie takie pseudo zabezpieczenia i skup sie na tym, co na prawde wazne (SQL injection, XSS).


Po odpaleniu tego pliku, wykonywane są zapytania do bazy danych i to nie byle jakie bo dotyczą rejestracji, więc co mi z tego, że zabezpiecze to od strony sql injection, jak każdy może wpisać na sztywno adres do strony, wrzucić fałszywy nagłówek i... wałek.
Go to the top of the page
+Quote Post
lukaskolista
post
Post #5





Grupa: Zarejestrowani
Postów: 872
Pomógł: 94
Dołączył: 31.03.2010

Ostrzeżenie: (0%)
-----

Dalsze ciagniecie tego tematu nie ma sensu. Jezeli panicznie boisz sie, ze skrypt nie zostanie wywolany ajaxem to nie programuj webowo. Co z tego, ze rejestracja? Co za roznica, czy rejestracja nastapi ajaxowo czy nie? Rownie dobrze mozna wywolac skrypt przez file_get_contents i ustawic odpowiedni konetekst http i bedzie to wygladalo dokladnie tak samo, jak ajax.

Jak CuteOne napisa: nie ma mozliwosci 100% sprawdzenia, czy skrypt zostal wywolany ajaxem.

Ten post edytował lukaskolista 9.01.2013, 15:44:28
Go to the top of the page
+Quote Post
« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 3.10.2025 - 04:41
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn