Protect php script, úgynevezett Ajax, webamator blog
Fő »Saytostroitelyu» PHP védelem okozta AJAX
Az írás ezt a bejegyzést én vezettem az azonos típusú kérdés a sor Webmaster fórumok - többek között a nullede, amit moderált, és azt hiszem, a legjobb közülük. Ha a fájl, hogy mi csak inklyudim lehet „elrejteni” a mellett egy állandó - defined ( „_ blablabla”) or die () a fájl hívó XMLHttpRequest helyzet kicsit más.
Így az első „egyszerű” példa:
A legelső (és legegyszerűbb) - nézd meg, hogyan kell hívni a fájlt:
Ez a módszer azonban nem nevezhető univerzális - például egy látogató jött át a vállalati proxy, vágás „ismeretlen” címoldalára. Ezen túlmenően, a fejlécek is hamis lehet.
Next - az, hogy adjunk hivatkozó csekket, azaz megadta a fájlt. Némileg módosítani a hívás file:
és myfile.php ilyesmire:
Azonban az út és a domain lehet hamis, azaz valamint az első esetben, úgy vélik, hogy az egyetemes védelem legalább naiv. Amely meghatározható még?
Felvehet egy fájlt a hívó ülésen, és vyzyvaevom ellenőrizze annak betartását.
Ehhez adjunk hozzá egy sort a hívó file:
És myfile.php hozzá egy ilyen teszt:
A példákban konkrétan kijelentette minden olyan intézkedés esetében a „rossz” kezelés a fájl - mit kell tenni, el kell döntenie magadnak minden esetben -, hogy szakítsa meg a működését a forgatókönyvet, hogy adjon ki egy hibaüzenetet, írj egy naplót, stb
Ha mind a három ellenőrzéseket egy időben, akkor egy kellően magas fokú védelmet a fájl call „kívülről”. Azonban ne számítsunk a következő ellenőrzéseket. Ha a hívott fájl például azt írja, hogy az adatbázis, az adatok azt is ellenőrizni kell. Ha a hívott fájl letöltésével valamit (például egy kép vagy fájl) a szerver - ellenőrizze ezt a „valamit”. Ie ne felejtsük el, a legfontosabb szabály - minden, ami kívülről jön potenciálisan veszélyes.
Ha ezt a bejegyzést úgy tűnt hasznos vagy érdekes neked, kattints az egyik az alábbi gombok - az vkontakte, facebook, magassugárzó, vagy google +, tanulni róla a barátaidnak. Köszönjük!