我有一个网站需要根据用户交互增加数据库中的值。 当用户单击一个按钮时,会调用php脚本来增加该值。 我想保护这个脚本不被外部脚本访问。 目前,用户可以使用javascript函数编写自己的网页,该函数反复点击相同的php文件以炸毁数据库中的值。
这是我的jquery代码,用于递增:
jQuery(function(){
$('.votebtn').click(function(e){
var mynum = $(this).attr('id').substring(0,5);
$.ajax({
url:"countvote.php",
type:"GET",
data: {
thenum:mynum
},
cache: false,
success:function(data) {
alert('Success!');
}
}
});
});
});
如何才能使本地服务器上的ajax / jquery调用只能访问'countvote.php'? 如果这不是正确的方法,我会接受任何可能阻止我的PHP脚本被外部脚本滥用的建议。
您是否可以将可以访问countvote.php的网站限制为仅限您域中的网站?
@ user829323使用wget在浏览器之外伪造这是微不足道的
该解决方案需要两个步骤。
首先,ajax文件必须仅允许使用此代码在ajax请求中进行访问。
define('IS_AJAX', isset($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest');
if(!IS_AJAX) {die('Restricted access');}
其次,ajax文件可以使用命令$ _SERVER ['HTTP_REFERER']调用它来调用文件名。
因此,您只能在主机服务器中限制访问。
$pos = strpos($_SERVER['HTTP_REFERER'],getenv('HTTP_HOST'));
if($pos===false)
die('Restricted access');
也许代码只适用于第二部分
这是一个非常好的主意。 它的工作原理。
这不起作用。 任何人都可以使用他们喜欢的任何值发送X-Requested-With和Referer标头。
@Quentin,那么解决这些要求的解决方案是什么? 在初始阶段给出的秘密?
@ mr.void - 没有解决方案。
您可以检查$_SERVER['HTTP_X_REQUESTED_WITH']是否等于xmlhttprequest,但它不是确定请求是否是AJAX请求的可靠方法,总有办法解决这个问题。 但它可以保护您免受随机命中,例如错误输入的网址,抓取工具等。
这不是真正的100%方法。 AJAX请求总是来自客户端。 使用POST请求而不是GET,这将有助于阻止任何问题,但不能完全阻止它们,并在您的PHP中,只需删除所有获取请求。
不幸的是,这不是一个选择。 我发现iOS 6很难通过JQuery / AJAX缓存POST请求结果。 因此,在移动设备上,响应信息不准确。
检查此答案以解决此问题。stackoverflow.com/questions/12506897/
除非我弄错了,否则我认为你需要JQuery 1.5或更高版本来使用标题控件。 不幸的是,我陷入了使用不支持这种情况的1.3。 它是CMS的一部分,我目前无法更新。 谢谢。
呃,糟透了。 对不起,我忍不住了。 希望你找到你的解决方案!
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
