Protect php script, úgynevezett Ajax, webamator blog

Fő »Saytostroitelyu» PHP védelem okozta AJAX

Az írás ezt a bejegyzést én vezettem az azonos típusú kérdés a sor Webmaster fórumok - többek között a nullede, amit moderált, és azt hiszem, a legjobb közülük. Ha a fájl, hogy mi csak inklyudim lehet „elrejteni” a mellett egy állandó - defined ( „_ blablabla”) or die () a fájl hívó XMLHttpRequest helyzet kicsit más.

Így az első „egyszerű” példa:

A legelső (és legegyszerűbb) - nézd meg, hogyan kell hívni a fájlt:

Ez a módszer azonban nem nevezhető univerzális - például egy látogató jött át a vállalati proxy, vágás „ismeretlen” címoldalára. Ezen túlmenően, a fejlécek is hamis lehet.

Next - az, hogy adjunk hivatkozó csekket, azaz megadta a fájlt. Némileg módosítani a hívás file:

és myfile.php ilyesmire:

Azonban az út és a domain lehet hamis, azaz valamint az első esetben, úgy vélik, hogy az egyetemes védelem legalább naiv. Amely meghatározható még?

Felvehet egy fájlt a hívó ülésen, és vyzyvaevom ellenőrizze annak betartását.
Ehhez adjunk hozzá egy sort a hívó file:

És myfile.php hozzá egy ilyen teszt:

A példákban konkrétan kijelentette minden olyan intézkedés esetében a „rossz” kezelés a fájl - mit kell tenni, el kell döntenie magadnak minden esetben -, hogy szakítsa meg a működését a forgatókönyvet, hogy adjon ki egy hibaüzenetet, írj egy naplót, stb

Ha mind a három ellenőrzéseket egy időben, akkor egy kellően magas fokú védelmet a fájl call „kívülről”. Azonban ne számítsunk a következő ellenőrzéseket. Ha a hívott fájl például azt írja, hogy az adatbázis, az adatok azt is ellenőrizni kell. Ha a hívott fájl letöltésével valamit (például egy kép vagy fájl) a szerver - ellenőrizze ezt a „valamit”. Ie ne felejtsük el, a legfontosabb szabály - minden, ami kívülről jön potenciálisan veszélyes.

Ha ezt a bejegyzést úgy tűnt hasznos vagy érdekes neked, kattints az egyik az alábbi gombok - az vkontakte, facebook, magassugárzó, vagy google +, tanulni róla a barátaidnak. Köszönjük!