5

我有几个用于 AJAX 查询的 PHP 脚本,但我希望它们能够在 Joomla 的身份验证系统的保护下运行。以下安全吗?有没有不必要的线路?

joomla-auth.php(与 Joomla 的 index.php 位于同一目录中):

<?php

define( '_JEXEC', 1 );
define('JPATH_BASE', dirname(__FILE__));
define( 'DS', DIRECTORY_SEPARATOR );
require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
require_once ( JPATH_BASE .DS.'includes'.DS.'framework.php' );

/* Create the Application */
$mainframe =& JFactory::getApplication('site');

/* Make sure we are logged in at all. */
if (JFactory::getUser()->id == 0)
    die("Access denied: login required.");

?>

测试.php:

<?php

include 'joomla-auth.php';

echo 'Logged in as "' . JFactory::getUser()->username . '"';

/* We then proceed to access things only the user
   of that name has access to. */
?>
4

2 回答 2

2

虽然我在代码中没有看到任何不安全的内容,但最好将 AJAX/JSON 调用调用到标准的 Joomla 组件。这里有一篇关于如何做到这一点的好文章:http: //blog.syncleon.com/2009/05/ajax-ify-your-joomla-website.html我还写过关于 JavaScript、Joomla 和异步请求的文章我的书http://www.packtpub.com/files/learning-joomla-1-5-extension-development-sample-chapter-8-using-javascript-effects.pdf(跳到第 168 页)。

本质上,您所做的是为 AJAX 调用的输出创建一个视图,然后创建一个 view.xml.php(或 view.json.php)文件而不是 view.html.php。当您添加&format=xml到请求 URL 的末尾时,它将从 view.xml.php 而不是 view.html.php 中提取。

于 2010-03-15T13:39:18.450 回答
0

确实有效,您需要为用户获取会话数据

jimport( 'joomla.session.session' );
$session                =& JFactory::getSession();

打印会话以查看结果

于 2012-10-23T19:01:07.633 回答