Задать вопрос
Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы » Способы защиты AJAX. Что посоветуете?

Способы защиты AJAX. Что посоветуете?

     08.03.2014    Общие вопросы, jQuery, Общие вопросы по PHP    4811

вопрос
До сих пор, создавая обращения AJAX я мучаюсь вопросом: как защитить AJAX от прямого обращения. Пробовал защитить его с помощью проверки юзера на "админа", работал на сайте, а от прямого обращения не защитил:
if($member_id['user_group'] != 1) die ("Hacking Attempt");


Пробовал передавать дополнительный параметр, к примеру mode:1, но это не сильно безопасно, так как можно посмотреть код JS.
$.post(dle_root + 'engine/ajax/myajax.php', { id: id, mode: 1 }, function(data).................

if(($mode!="1" or empty($mode)) OR (!is_numeric($id) OR empty($id))) die ("Hacking Attempt");


Даже к сожалению не помогло это, хотя я не надеялся что оно поможет:
if( ! defined( 'DATALIFEENGINE' ) ) {
die( "Kiss your ass :)" );
}


Подскажите пожалуйста, как и чем вы защищаете AJAX от прямого обращения :) Срочно нужен ваш совет

Ответил: Sander

100% защиты нету!
Проверка реферера на данный момент является самым действенным, однако любой скрипт может легко подделать реферера.
Можно замудриться с сессиями и хешами, однако это дело тоже относительно легко обходится.
Так что бери код и ставь во все ajax скрипты

function reset_url($url) {
    $value = str_replace ( "http://", "", $url );
    $value = str_replace ( "https://", "", $value );
    $value = str_replace ( "www.", "", $value );
    $value = explode ( "/", $value );
    $value = reset ( $value );
    return $value;
}
    $_SERVER['HTTP_REFERER'] = reset_url ( $_SERVER['HTTP_REFERER'] );
    $_SERVER['HTTP_HOST'] = reset_url ( $_SERVER['HTTP_HOST'] );

    if ($_SERVER['HTTP_HOST'] != $_SERVER['HTTP_REFERER']) {
        @header ( 'Location: ' . $config['http_home_url'] );
        die ( "Access denied!!!<br /><br />Please visit <a href=\"{$config['http_home_url']}\">{$config['http_home_url']}</a>" );
    }

13 комментариев

lutskboy
Эксперт

lutskboy - 8 марта 2014 15:01 -

к сожалению защититься никак
vk_159926832
Юзер

vk_159926832 - 8 марта 2014 15:23 -

Чтоли совсем-совсем нет средств защиты? Ладно подождём ответов других
vitnet
PHP-developer

vitnet - 8 марта 2014 15:28 -

js
$.post(dle_root + "engine/ajax/code.php", {skin: dle_skin, action:"load"}, function(data) {
php
$_REQUEST['skin'] = trim(totranslit($_REQUEST['skin'], false, false));

if( $_REQUEST['skin'] == "" OR !@is_dir( ROOT_DIR . '/templates/' . $_REQUEST['skin'] ) ) {
    die ("Hacking attempt!");
}
vk_159926832
Юзер

vk_159926832 - 8 марта 2014 17:45 -

Спасибо, неплохо!
rashpil
Эксперт

rashpil - 8 марта 2014 15:57 -

Как на счёт проверки рефера?
vk_159926832
Юзер

vk_159926832 - 8 марта 2014 18:32 -

Можно рассчитать как вариант $_SERVER['HTTP_REFERER'], но не стоит забывать, что не все браузеры устанавливают его, а некоторых даже можно изменять содержимое HTTP_REFERER. Одним словом, ему нельзя доверять.
Mofsy
Эксперт

Mofsy - 8 марта 2014 18:16 -

смысл защищать?
i_loves_ac_dc
Гости

i_loves_ac_dc - 8 марта 2014 18:24 -

Mofsy, смысл вообще код защищать, пусть шелы заливают.
vk_159926832
Юзер

vk_159926832 - 8 марта 2014 18:35 -

Как понять "смысл"?? :\ - чтоб не было дыр в сайте, чтоб никто не мог наговнять сайту через AJAX.

Также аналогично спрошу: "смысл защищать свой компьютер антивирусом?" XD
Mofsy
Эксперт

Mofsy - 8 марта 2014 18:55 -

у меня отсутствует антивирус, это не мешает жить без вирусов.
смысл защищать ajax таким образом? Сделайте нормальную фильтрацию данных и все. Не важно откуда пришел запрос.
vk_159926832
Юзер

vk_159926832 - 8 марта 2014 19:59 -

Ну значит вам крупно повезло, в нынешний век шанс заражения велик. Но дело не в этом. Я говорю про прямое обращение. На стороне клиента (сайта) проверки происходят.
dj-avtosh
PHP-developer

dj-avtosh - 9 марта 2014 14:16 - 


if(isset($_SERVER['HTTP_X_REQUESTED_WITH']) && !empty($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') {
    // Если к нам идёт Ajax запрос, то ловим его
    echo 'Это ajax запрос!';
  }
https://elkhan.ru
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
vk_159926832
Юзер

vk_159926832 - 10 марта 2014 08:14 -

Спасибо, метод супер.
Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

 01.02.2012 ssaid  Общие вопросы
 02.04.2012 promax  Общие вопросы
 24.09.2012 Vladsuperklas  Общие вопросы
 30.11.2012 pashavanholt  Общие вопросы
 17.03.2013 Ayk  Общие вопросы
 11.11.2013 vpkach  Общие вопросы
 12.03.2014 feniks01  Общие вопросы
 26.05.2014 lisa999  Общие вопросы
 16.07.2014 G-Force  Общие вопросы
 11.01.2015 SaBBa  Общие вопросы
  • New-dev.ru | Создание простого сайта отзывов (рейтинг ... 4
    Фото New-dev.ru
    New-dev.ru
    Создание простого сайта отзывов (рейтинг и сортировка) - модуль PostReviews
    Вчера, 14:14
    А что там на фронте на скрине или демо смотреть? Там в стандартную форму добавления комментария просто добавляется рейтинг, например, звездный.
  • TeraMoune | Сделать модуль опросы 3
    Фото TeraMoune
    TeraMoune
    Сделать модуль опросы
    22-04-2024, 13:32
    Конечно. Пишите в телеграм.
  • Nimax | Сделать модуль опросы 3
    Фото Nimax
    Nimax
    Сделать модуль опросы
    22-04-2024, 13:17
    Да в том и дело =) так и думал можете сделать? сколько будет по стоимости?
  • TeraMoune | Сделать модуль опросы 3
    Фото TeraMoune
    TeraMoune
    Сделать модуль опросы
    22-04-2024, 12:56
    Зачем же для этого модуль ? Есть стандартные опросы, достаточно добавить одну правку на обработку тега в описании новости от стандартного тега poll.
  • Nimax | Создание простого сайта отзывов (рейтинг ... 4
    Фото Nimax
    Nimax
    Создание простого сайта отзывов (рейтинг и сортировка) - модуль PostReviews
    22-04-2024, 12:14
    А есть скрины или демо как это на фронте выглядит?
  • New-dev.ru | Создание простого сайта отзывов (рейтинг ... 4
    Фото New-dev.ru
    New-dev.ru
    Создание простого сайта отзывов (рейтинг и сортировка) - модуль PostReviews
    21-04-2024, 18:25
    Эта старая публикация, за несколько месяцев цена выросла, а тут забыл исправить цену, сожалею. Сейчас поставил актуальную цену.
  • Nimax | Создание простого сайта отзывов (рейтинг ... 4
    Фото Nimax
    Nimax
    Создание простого сайта отзывов (рейтинг и сортировка) - модуль PostReviews
    21-04-2024, 13:18
    Как преобрести за 9$? на сайте цена другая
  • Jigurda | Как в description вставить значение доп. ... 2
    Фото Jigurda
    Jigurda
    Как в description вставить значение доп.поля?
    19-04-2024, 10:54
    Немного не то. Нужно не заменить, а добавить к уже имеющемуся description свой текст с доп.полями
  • lutskboy | Как в description вставить значение доп. ... 2
    Фото lutskboy
    lutskboy
    Как в description вставить значение доп.поля?
    18-04-2024, 21:51
    https://sandev.pro/web/159-fullstory-metatags-by-sander.html
  • derebas | Как реализовать кнопку "Поделиться" как ... 1
    Фото derebas
    derebas
    Как реализовать кнопку "Поделиться" как на Плей Маркете?
    18-04-2024, 09:39
    Ну если на скорую руку то примерно так
    <style>
.sociallinks {
    display: none;
    position: fixed;
    z-index: 999;
    left: 0;
    top: 0;
    width: 100%;
    height: 100%;
    overflow: auto;
    background-color: rgba(0,0,0,0.4);
}

.sociallinks-content {
    background-color: #fefefe;
    margin: auto;
    padding: 20px;
    border: 1px solid #888;
    width: 80%;
    max-width: 500px;
    border-radius: 10px;
    position: absolute;
    left: 50%;
    top: 50%;
    transform: translate(-50%, -50%);
}

.close {
    color: #aaa;
    position: absolute;
    top: 10px;
    right: 10px;
    font-size: 28px;
    font-weight: bold;
}

.close:hover,
.close:focus {
    color: black;
    text-decoration: none;
    cursor: pointer;
}

.social-container {
    display: flex;
    align-items: center;
}
.social-container > div {
    margin-left: 10px;
}

h2, p {
    margin: 5px 0;
}
.social {
  padding-top: 20px;
}
.social img {
  margin: 10px;
}
.sharebtn {
  padding-top: 20px;
  width: 100%;
}
.sharebtn_area {
  border: 1px solid black;
  height: 40px;
}
.sharebtn input[type="text"] {
  width: 70%;
  border: none;
  height: 95%;
}
.sharebtn button {
  width: 25%;
  height: 95%;
  border: none;
  background-color: #fff;
}
</style>
<button id="opensociallinksBtn">Поделиться</button>

<div id="mysociallinks" class="sociallinks">
  <div class="sociallinks-content">
    <span class="close">×</span>
    <div class="social-container">
        <img src="{image-1}" alt="Icon" width="30" height="30">
        <div>
            <h2>{title}</h2> 
            <p>Поделиться</p> 
        </div>
    </div>
    <div class="social">
        <a href="https://api.whatsapp.com/send/?text={full-link}"><img src="whatsapp.png" alt="WhatsApp" width="30" height="30"></a>
        <a href="https://www.facebook.com/sharer/sharer.php?u={full-link}"><img src="facebook.png" alt="Facebook" width="30" height="30"></a>
        <a href="https://twitter.com/intent/post?url={full-link}"><img src="twitter.png" alt="Twitter" width="30" height="30"></a>
        <a href="https://www.instagram.com/share?url={full-link}"><img src="instagram.png" alt="Instagram" width="30" height="30"></a>
    </div>
    <div class="sharebtn">
      <div class="sharebtn_area">
        <input type="text" id="inputText" value="{full-link}" readonly="true">
        <button id="copyBtn">Поделиться <img src="share.png" width="10px" alt="Share Icon"></button>
      </div>
    </div>
  </div>
</div>

<script>
var sociallinks = document.getElementById("mysociallinks");
var opensociallinksBtn = document.getElementById("opensociallinksBtn");
var closeBtn = document.getElementsByClassName("close")[0];
var copyBtn = document.getElementById("copyBtn");
var inputText = document.getElementById("inputText");

opensociallinksBtn.onclick = function() {
  sociallinks.style.display = "block";
}

closeBtn.onclick = function() {
  sociallinks.style.display = "none";
}

window.onclick = function(event) {
  if (event.target == sociallinks) {
    sociallinks.style.display = "none";
  }
}

copyBtn.onclick = function() {
  inputText.select();
  document.execCommand("copy");
}
</script>
наверх