Задать вопрос
Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы » Способы защиты AJAX. Что посоветуете?

Способы защиты AJAX. Что посоветуете?

     08.03.2014    Общие вопросы, jQuery, Общие вопросы по PHP    4924

вопрос
До сих пор, создавая обращения AJAX я мучаюсь вопросом: как защитить AJAX от прямого обращения. Пробовал защитить его с помощью проверки юзера на "админа", работал на сайте, а от прямого обращения не защитил:
if($member_id['user_group'] != 1) die ("Hacking Attempt");


Пробовал передавать дополнительный параметр, к примеру mode:1, но это не сильно безопасно, так как можно посмотреть код JS.
$.post(dle_root + 'engine/ajax/myajax.php', { id: id, mode: 1 }, function(data).................

if(($mode!="1" or empty($mode)) OR (!is_numeric($id) OR empty($id))) die ("Hacking Attempt");


Даже к сожалению не помогло это, хотя я не надеялся что оно поможет:
if( ! defined( 'DATALIFEENGINE' ) ) {
die( "Kiss your ass :)" );
}


Подскажите пожалуйста, как и чем вы защищаете AJAX от прямого обращения :) Срочно нужен ваш совет

Ответил: Sander

100% защиты нету!
Проверка реферера на данный момент является самым действенным, однако любой скрипт может легко подделать реферера.
Можно замудриться с сессиями и хешами, однако это дело тоже относительно легко обходится.
Так что бери код и ставь во все ajax скрипты

function reset_url($url) {
    $value = str_replace ( "http://", "", $url );
    $value = str_replace ( "https://", "", $value );
    $value = str_replace ( "www.", "", $value );
    $value = explode ( "/", $value );
    $value = reset ( $value );
    return $value;
}
    $_SERVER['HTTP_REFERER'] = reset_url ( $_SERVER['HTTP_REFERER'] );
    $_SERVER['HTTP_HOST'] = reset_url ( $_SERVER['HTTP_HOST'] );

    if ($_SERVER['HTTP_HOST'] != $_SERVER['HTTP_REFERER']) {
        @header ( 'Location: ' . $config['http_home_url'] );
        die ( "Access denied!!!<br /><br />Please visit <a href=\"{$config['http_home_url']}\">{$config['http_home_url']}</a>" );
    }

13 комментариев

lutskboy
Эксперт

lutskboy - 8 марта 2014 15:01 -

к сожалению защититься никак
vk_159926832
Юзер

vk_159926832 - 8 марта 2014 15:23 -

Чтоли совсем-совсем нет средств защиты? Ладно подождём ответов других
vitnet
PHP-developer

vitnet - 8 марта 2014 15:28 -

js
$.post(dle_root + "engine/ajax/code.php", {skin: dle_skin, action:"load"}, function(data) {
php
$_REQUEST['skin'] = trim(totranslit($_REQUEST['skin'], false, false));

if( $_REQUEST['skin'] == "" OR !@is_dir( ROOT_DIR . '/templates/' . $_REQUEST['skin'] ) ) {
    die ("Hacking attempt!");
}
vk_159926832
Юзер

vk_159926832 - 8 марта 2014 17:45 -

Спасибо, неплохо!
rashpil
Эксперт

rashpil - 8 марта 2014 15:57 -

Как на счёт проверки рефера?
vk_159926832
Юзер

vk_159926832 - 8 марта 2014 18:32 -

Можно рассчитать как вариант $_SERVER['HTTP_REFERER'], но не стоит забывать, что не все браузеры устанавливают его, а некоторых даже можно изменять содержимое HTTP_REFERER. Одним словом, ему нельзя доверять.
Mofsy
Эксперт

Mofsy - 8 марта 2014 18:16 -

смысл защищать?
i_loves_ac_dc
Гости

i_loves_ac_dc - 8 марта 2014 18:24 -

Mofsy, смысл вообще код защищать, пусть шелы заливают.
vk_159926832
Юзер

vk_159926832 - 8 марта 2014 18:35 -

Как понять "смысл"?? :\ - чтоб не было дыр в сайте, чтоб никто не мог наговнять сайту через AJAX.

Также аналогично спрошу: "смысл защищать свой компьютер антивирусом?" XD
Mofsy
Эксперт

Mofsy - 8 марта 2014 18:55 -

у меня отсутствует антивирус, это не мешает жить без вирусов.
смысл защищать ajax таким образом? Сделайте нормальную фильтрацию данных и все. Не важно откуда пришел запрос.
vk_159926832
Юзер

vk_159926832 - 8 марта 2014 19:59 -

Ну значит вам крупно повезло, в нынешний век шанс заражения велик. Но дело не в этом. Я говорю про прямое обращение. На стороне клиента (сайта) проверки происходят.
dj-avtosh
PHP-developer

dj-avtosh - 9 марта 2014 14:16 - 


if(isset($_SERVER['HTTP_X_REQUESTED_WITH']) && !empty($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') {
    // Если к нам идёт Ajax запрос, то ловим его
    echo 'Это ajax запрос!';
  }
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
vk_159926832
Юзер

vk_159926832 - 10 марта 2014 08:14 -

Спасибо, метод супер.
Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

 01.02.2012 ssaid  Общие вопросы
 02.04.2012 promax  Общие вопросы
 24.09.2012 Vladsuperklas  Общие вопросы
 30.11.2012 pashavanholt  Общие вопросы
 17.03.2013 Ayk  Общие вопросы
 11.11.2013 vpkach  Общие вопросы
 12.03.2014 feniks01  Общие вопросы
 26.05.2014 lisa999  Общие вопросы
 16.07.2014 G-Force  Общие вопросы
 11.01.2015 SaBBa  Общие вопросы
  • TeraMoune | Как отключить миниатюры стандартной гале ...
    Фото TeraMoune
    TeraMoune
    Как отключить миниатюры стандартной галереи Fancybox?
    Сегодня, 06:00
    В файле engine/classes/fancybox/fancybox.js искать нужную инициализацию и добавлять соответствующие параметры, весь список параметров и их описание можно найти на этой странице https://fancyapps.com/fancybox/api/options/

    Например: параметр Thumbs: false отключает миниатюры.
    Fancybox.bind("[data-highslide]", {
	groupAttr: 'data-highslide',
	idle:2000,
	Thumbs: false,
	caption: (fancybox, slide) => {
		if(  slide.thumbEl && slide.thumbEl.alt ) {
			return slide.thumbEl.alt
		}
	}
});
  • derebas | Как реализовать шифрование трафика? 3
    Фото derebas
    derebas
    Как реализовать шифрование трафика?
    18-11-2024, 16:52
    Ну в теории, можно использовать src на site.com разместить прокси на site2.com а выдавать видео с site3.com, при этом прямой доступ на site3.com закрыть, отдача будет только если запрос с site2.com, таким образом палится только site2.com, НО источник потокового видео, все равно можно увидеть если захотеть, а ссылки, ну купить домен dsac-43efew-csdds.uz как пример
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:46
    я уже делал. Пользователь 1000 (это я так понимаю root) и chmod 777
    Так и было...
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:39
    чтоб не удалять выстави права и пользователя какие там идут на файлы. .
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:37
    т.е. мне снести всё, что я уже загрузил как root, зайти под юзером и закачать снова?
    Видосы в директории upload можно хоть оставить? их там 80 Гб
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:17
    фтп обычный юзер а не root
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:15
    дэк только так и загружаю
  • Gordi | Как реализовать шифрование трафика? 3
    Фото Gordi
    Gordi
    Как реализовать шифрование трафика?
    18-11-2024, 14:14
    я тоже не понимаю....товарищ один, представитель хостинга сказал, что даже есть модули такие специальные под популярные цмс
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:13
    Gordi,
    через фтп загружай
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:11
    Привет Николай!
    Всегда загружал от root... посмотришь может? твой плагин тоже не виден ((
    или направь на путь истинный, пжст
наверх