Lon*_*fPR 14 php security ajax jquery
我有一个网站需要根据用户交互增加数据库中的值.当用户单击一个按钮时,会调用php脚本来增加该值.我想保护这个脚本不被外部脚本访问.目前,用户可以使用javascript函数编写自己的网页,该函数反复点击相同的php文件以炸毁数据库中的值.
这是我的jquery代码,用于递增:
jQuery(function(){
$('.votebtn').click(function(e){
var mynum = $(this).attr('id').substring(0,5);
$.ajax({
url:"countvote.php",
type:"GET",
data: {
thenum:mynum
},
cache: false,
success:function(data) {
alert('Success!');
}
}
});
});
});
如何才能使本地服务器上的ajax/jquery调用只能访问'countvote.php'?如果这不是正确的方法,我会接受任何可能阻止我的PHP脚本被外部脚本滥用的建议.
小智 36
该解决方案需要两个步骤.
首先,ajax文件必须仅允许使用此代码在ajax请求中进行访问.
define('IS_AJAX', isset($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest');
if(!IS_AJAX) {die('Restricted access');}
其次,ajax文件可以使用命令$ _SERVER ['HTTP_REFERER']调用它来调用文件名.因此,您只能在主机服务器中限制访问.
$pos = strpos($_SERVER['HTTP_REFERER'],getenv('HTTP_HOST'));
if($pos===false)
die('Restricted access');
也许代码只适用于第二部分
您可以检查 if $_SERVER['HTTP_X_REQUESTED_WITH']equals xmlhttprequest,但这不是确定请求是否是 AJAX 请求的可靠方法,总有一种方法可以解决这个问题。但它可以保护您免受随机点击,例如错误输入的网址、爬虫等。
| 归档时间: |
|
| 查看次数: |
15471 次 |
| 最近记录: |