我试图破解一个简单的身份验证系统。希望这会阻止远程请求被发送到我服务器上的特定php页面,并且只处理它认证的源自服务器本身的页面。
这是基本概念:
home.php - >使用数据向auth.php发出AJAX请求 - >获取所有$ _GET变量并将其与身份验证代码一起发送到product.php - > product.php发送对auth.php的响应 - > auth.php将此响应镜像回AJAX调用。
验证码是microtime + salt的md5令牌。我最初将这些请求直接传递给home.php中的product.php,但问题是令牌+时间是在AJAX请求中发送的(3个变量中的2个)。我能想到隐藏这些信息的唯一方法是通过第二个内部php页面(auth.php)将它打到请求上,然后将其传递给product.php。这样,即使存在验证码也不会曝光。
我的问题是 - 如何通过auth.php将请求传递给product.php来完成此链。我想让它成为一个本地请求,以减轻在前一个请求模型之间使用此缓冲区php页面的影响,但它必须反映常规AJAX / curl请求的特性,因为它需要传递一堆变量然后收到回复。
为了进一步简化我的问题 - 会像
那样curl_setopt($ch, CURLOPT_URL, "product.php");
为我的目的工作?有没有更高效的东西?