我有一个网站需要根据用户交互增加数据库中的值。当用户单击一个按钮时,会调用php脚本来增加该值。我想保护这个脚本不被外部脚本访问。目前,用户可以使用javascript函数编写自己的网页,该函数反复点击相同的php文件以炸毁数据库中的值。
这是我的jquery代码,用于递增:
jQuery(function(){
$('.votebtn').click(function(e){
var mynum = $(this).attr('id').substring(0,5);
$.ajax({
url:"countvote.php",
type:"GET",
data: {
thenum:mynum
},
cache: false,
success:function(data) {
alert('Success!');
}
}
});
});
});
我将如何制作它,以便只有来自本地服务器上的ajax / jquery的调用才能访问'countvote.php'?如果这不是正确的方法,那么我愿意接受任何阻止我的php脚本被外部脚本滥用的建议。
答案 0 :(得分:35)
解决方案需要两个步骤。
首先,ajax文件必须只允许使用此代码访问ajax请求。
define('IS_AJAX', isset($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest');
if(!IS_AJAX) {die('Restricted access');}
其次,ajax文件可以使用命令$ _SERVER ['HTTP_REFERER']调用它的文件名访问。 因此,您只能在主机服务器中限制访问。
$pos = strpos($_SERVER['HTTP_REFERER'],getenv('HTTP_HOST'));
if($pos===false)
die('Restricted access');
也许代码只适用于第二部分
答案 1 :(得分:3)
您可以检查$_SERVER['HTTP_X_REQUESTED_WITH']是否等于xmlhttprequest,但它不是确定请求是否是AJAX请求的可靠方法,总有办法解决此问题。但它可以保护您免受随机命中,例如错误输入的网址,抓取工具等。
答案 2 :(得分:2)
Theres并不是100%这样做的方法。 AJAX请求总是来自客户端。使用POST请求而不是GET,这将有助于阻止任何问题,但不能完全阻止它们,并在您的PHP中,只需删除所有获取请求。
答案 3 :(得分:0)
我不确定这是否可行,但是如何设置 API 密钥,例如。 index.php 到一个 $_SESSION 变量,afaik 这对用户是不可见的,除非您手动执行,然后在受限的 php 文件中,检查 $_SESSION['VOTEAPIKEY'] 或其他内容