[英]Allow access to PHP file only through ajax on local server
我有一个网站需要根据用户交互增加数据库中的值。 当用户单击按钮时,会调用一个 php 脚本来增加值。 我想保护这个脚本不被外部脚本访问。 目前,用户可以使用 javascript 函数编写自己的网页,该函数重复命中同一个 php 文件以炸毁数据库中的值。
这是我执行递增的 jquery 代码:
jQuery(function(){
$('.votebtn').click(function(e){
var mynum = $(this).attr('id').substring(0,5);
$.ajax({
url:"countvote.php",
type:"GET",
data: {
thenum:mynum
},
cache: false,
success:function(data) {
alert('Success!');
}
}
});
});
});
我将如何去做,以便只有来自本地服务器上的 ajax/jquery 的调用才能访问“countvote.php”? 如果这不是正确的方法,我愿意接受任何可以防止我的 php 脚本被外部脚本滥用的建议。
解决方案需要两个步骤。
首先,ajax 文件必须只允许在使用此代码的 ajax 请求中访问。
define('IS_AJAX', isset($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest');
if(!IS_AJAX) {die('Restricted access');}
其次,ajax 文件可以访问使用命令 $_SERVER['HTTP_REFERER'] 调用它的文件名。 因此,您只能限制在主机服务器中的访问。
$pos = strpos($_SERVER['HTTP_REFERER'],getenv('HTTP_HOST'));
if($pos===false)
die('Restricted access');
也许代码只能与第二部分一起使用
您可以检查$_SERVER['HTTP_X_REQUESTED_WITH']
等于xmlhttprequest
,但这不是确定请求是否是 AJAX 请求的可靠方法,总有办法解决这个问题。 但它可以保护您免受诸如错误输入的网址、爬虫等随机点击的影响。
没有真正 100% 的方法这样做。 AJAX 请求总是来自客户端。 使用 POST 请求而不是 GET ,这将有助于阻止任何问题,但不能完全阻止它们,在您的 php 中,只需删除所有 get 请求。
我不确定这是否可行,但是如何设置 API 密钥,例如。 index.php 到$_SESSION
变量,afaik 这对用户不可见,除非您手动执行,然后在受限的 php 文件中,检查$_SESSION['VOTEAPIKEY']
或其他任何内容
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.