我试图拒绝直接url访问一个调用ajax进行表单验证的php文件。我目前的代码已经工作,直到表单验证,然后它不起作用。我不想使用.htaccess。
当前代码:
<?php
$url = strtolower(basename($_SERVER['PHP_SELF'])); // Gets url (parent that uses the include)
$fil = strtolower(basename(__FILE__)); // gets filename (the included file)
if ($url == $fil){
// if they are the same (file is accessed through url
// redirect to forbidden page
header("HTTP/1.0 403 Forbidden");
exit;
}
// require my configuration
require_once("config.php");
// code to be executed for ajax validation
$username = $_POST['username'];
$conn = mysql_connect(DB_HOST,DB_USER,DB_PASS) or die(mysql_error());
mysql_select_db(DB_NAME,$conn) or die(mysql_error());
$query = mysql_query("SELECT * FROM " . TB_USER . " WHERE username = '{$username}'",$conn) or die(mysql_error());
$result = mysql_num_rows($query);
mysql_close($conn);
if ($result == 0){
echo "true";
}else{
echo "false";
}
?>
如果我直接从url访问该文件,它会按计划重定向,但是当通过ajax验证表单时,如果用户名不可用,它就不会执行任何操作。取出前两行代码($ url,$ fil)以及if语句使得ajax验证工作,但在url访问时不会拒绝页面。关于该怎么做的任何建议?
答案 0 :(得分:6)
使用此:
if(!$_SERVER['HTTP_X_REQUESTED_WITH'])
{
header("HTTP/1.0 403 Forbidden");
exit;
}
在所有现代浏览器中,如果使用AJAX访问页面,PHP会将此标头添加到请求中。如果您的页面被调用且此标题不存在,则很有可能直接调用它(或通过超链接或其他方式重定向到其他页面)。基本上这总是显示禁止页面,除非使用AJAX调用此页面。
答案 1 :(得分:2)
这样做没有意义。它不会增加任何实际的安全性。
所有表示通过Ajax发出请求的标头(如HTTP_X_REQUESTED_WITH)都可以在客户端伪造。
如果您的Ajax正在提供敏感数据或允许访问敏感操作,则需要添加适当的安全性,例如登录系统。