14

我有一个网站需要根据用户交互来增加数据库中的值。当用户单击一个按钮时,会调用一个增加值的 php 脚本。我想保护这个脚本不被外部脚本访问。目前,用户可以使用 javascript 函数编写自己的网页,该函数反复访问同一个 php 文件以炸毁数据库中的值。

这是我的执行递增的 jquery 代码:

jQuery(function(){
$('.votebtn').click(function(e){
    var mynum = $(this).attr('id').substring(0,5);
    $.ajax({
            url:"countvote.php",
            type:"GET",
            data: { 
                thenum:mynum
            },
            cache: false,
            success:function(data) {
                alert('Success!');
                }
            }
        });
});
});

我将如何去做,以便只有来自本地服务器上的 ajax/jquery 的调用才能访问“countvote.php”?如果这不是正确的方法,我愿意接受任何可以防止我的 php 脚本被外部脚本滥用的建议。

4

4 回答 4

40

解决方案需要两个步骤。

首先,ajax 文件必须只允许使用此代码在 ajax 请求中访问。

define('IS_AJAX', isset($_SERVER['HTTP_X_REQUESTED_WITH']) &&      strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest');
if(!IS_AJAX) {die('Restricted access');}

其次,ajax 文件可以访问使用命令 $_SERVER['HTTP_REFERER'] 调用它的文件名。因此,您只能在主机服务器中限制访问。

$pos = strpos($_SERVER['HTTP_REFERER'],getenv('HTTP_HOST'));
if($pos===false)
  die('Restricted access');

也许代码只能与第二部分一起使用

于 2013-12-02T21:06:37.600 回答
3

您可以检查 if $_SERVER['HTTP_X_REQUESTED_WITH']equals xmlhttprequest,但这不是确定请求是否为 AJAX 请求的可靠方法,总有办法解决这个问题。但它可以保护您免受随机点击,例如错误输入的网址、爬虫等。

于 2013-03-15T16:06:43.153 回答
2

没有真正做到 100% 的方法。AJAX 请求总是来自客户端。使用 POST 请求而不是 GET,这将有助于阻止任何问题,但不能完全阻止它们,在您的 php 中,只需删除所有 get 请求。

于 2013-03-15T16:08:45.393 回答
1

我不确定这是否可行,但是关于设置 API 密钥的方法是什么。index.php 到一个$_SESSION变量中,afaik 这对用户不可见,除非您手动执行此操作,然后在受限制的 php 文件中,检查$_SESSION['VOTEAPIKEY']或其他

于 2021-05-20T18:49:32.907 回答