[AJAX][PHP]jak zabezpieczyc plik ajaxowy? Opcje

[elmozaur]

Witajcie.
Mam skrypt ajaxowy ktory zadaje pytanie do pliku zadania.php.

Plik zadania.php odbiera zmienne z $_POST i cos tam sobie robi.

Pytanie: w jaki sposob zabezpieczyc plik zadania.php aby nawet przy wywolaniu bezposrednio w url (lub poprzez spreparowany formularz) aby nie zrobic za duzo zniszczen ?

za info z gory dziekuje
pozdrawiam
Grzegorz

[esiek]

poczytaj o zmiennych środowiskowych a konkretnie o $_SERVER['HTTP_REFERER']

[mmica]

Hey ;]
Możesz też zabezpieczyć skrypt poprzez dodanie jeszcze jednego pola typu "hidden" o nazwie "hash", w którym będziesz przetrzymywał datę z hash'em tej_daty+jakiegoś hasła w takiej formie: "dd-mm-yyyy_hash". Potem w Twoim skrypcie zadania.php:

[PHP] pobierz, plaintext 
<?php
	$passwd = 'twoje_tajne_haslo';
	list($date, $hash) = explode('_', $_POST['hash']);
 
	if(sha1($date.$passwd) != $hash)
	{
		die('Access denid!');
	}
 
	// ... reszta kodu
?>
[PHP] pobierz, plaintext 

Rozwiązanie esiek'a ma jedną wadę.. zmienna $_SERVER['HTTP_REFERER'] jest przesyłana nagłówkiem, a każdy nagłówek pochodzi od użytkownika i jak wszystko pochodzące od niego - może zostać spreparowana. Używając jej do "autoryzacji" użytkownika, sami sobie piszemy luki w bezpieczeństwie, umożliwiające wykonywanie się skryptu nie po naszej myśli. Tyle z mojej strony.

Pozdrawiam,
mmica

Ten post edytował mmica 5.12.2010, 21:06:11