Задать вопрос
Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы по PHP » Как обезопасить PHP-скрипт от прямого доступа?

Как обезопасить PHP-скрипт от прямого доступа?

     14.03.2021    Общие вопросы по PHP, Модули, Ламерские вопросы    1275

вопрос
Доброго времени!

Сделал примитивный хак для изменения значения допполя непосредственной в новости. Через js выполняется AJAX-запрос к php-файлу в папке engine/ajax:
 Содержимое PHP-файла

Каким образом можно ограничить прямой доступ к файлу?
if(!defined('DATALIFEENGINE')) {
	header( "HTTP/1.1 403 Forbidden" );
	header ( 'Location: ../../' );
	die( "Hacking attempt!" );
}
и 
if( !$is_logged ) die( "error" );
не работают...

Ответа пока нет

 

8 комментариев

TeraMoune
Эксперт

TeraMoune - 14 марта 2021 22:12 -

Проверяйте метод запроса.
Принимаю оплату только на карту Мир. Крипту в качестве оплаты меньше трёхзначного значения не принимаю.
web102
Юзер

web102 - 15 марта 2021 06:53 -

можно поподробнее? JS отправляет запрос методом $_POST, а при прямом обращении через браузер - $_GET? Из этого исходить?
TeraMoune
Эксперт

TeraMoune - 15 марта 2021 09:16 -

Верно, делаете условие и если метод запроса post то пропускаете если иначе то прекращаете работу.
Принимаю оплату только на карту Мир. Крипту в качестве оплаты меньше трёхзначного значения не принимаю.
dj-avtosh
PHP-developer

dj-avtosh - 14 марта 2021 23:43 -

Скажите, что значит прямой доступ к файлу?
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
keaks
Юзер

keaks - 15 марта 2021 00:37 -

dj-avtosh,
Он видимо имеет ввиду что при прямом обращении к его скрипту от люого пользователя выполняется действие.
web102
Юзер

web102 - 15 марта 2021 06:52 -

совершенно верно
dj-avtosh
PHP-developer

dj-avtosh - 15 марта 2021 10:33 -

По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
web102
Юзер

web102 - 15 марта 2021 10:51 -

Спасибо, добрый человек! То, что нужно!
Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

 12.07.2012 Arteom  Общие вопросы по PHP
 20.06.2014 Kota  jQuery, Общие вопросы по PHP
 25.08.2014 Killerkiss  jQuery, Общие вопросы по PHP
 07.03.2015 kent  Общие вопросы по PHP, Модули, MySQL
 07.07.2017 igrovik  Общие вопросы по PHP, Модули
 21.08.2017 kovalenko3331  Общие вопросы по PHP
 05.10.2017 magik  Общие вопросы по PHP
 07.11.2017 igrovik  Общие вопросы, Общие вопросы по PHP
 22.03.2020 4iLi737  Общие вопросы по PHP, Хаки, MySQL
 01.11.2020 ushkom  jQuery, Общие вопросы по PHP, Хаки
  • Dammager | Как разрешить загрузку файла без расшире ... 1
    Фото Dammager
    Dammager
    Как разрешить загрузку файла без расширения?
    Сегодня, 09:20
    Или другой вариант имеется ссылка на .jpg файл но без разширения например http://сайт.ру/названиефайла - как такой файл заставить загрузится к новости по ссылке, чтоб потом вставить картинку в новость.


    Тоже интересует
  • Yutube | Как получить значения дополнительных пол ... 6
    Фото Yutube
    Yutube
    Как получить значения дополнительных полей?
    Вчера, 18:47
    Андрей79,
    Спасибо за развёрнутый ответ
  • Андрей79 | Как получить значения дополнительных пол ... 6
    Фото Андрей79
    Андрей79
    Как получить значения дополнительных полей?
    Вчера, 18:32
    В шаблонах используем стандартные теги:

    {xfvalue_field} для доп. полей новости,

    [xcvalue_field] / [xcgiven_field]…[/xcgiven_field] для полей категорий.
    dle-news.com
    +1

    В PHP (когда нужно читать поле программно) — через класс XFields:

    // $row['xfields'] — строка из БД (news/users)
    $xf = DLEXFields::xfieldsdataload( $row['xfields'] );
    $value = isset($xf['myfield']) ? $xf['myfield'] : '';


    Это «правильный» способ на актуальных DLE, потому что парсинг и привязка тегов теперь в engine/classes/xfields.class.php.
    dle-faq.ru

    Безопасность и совместимость

    Не выводим «сырые» значения из XFields — пропускаем через штатный парсер DLE, если там BBCode/HTML:

    $parse = new ParseFilter();
    $parse->safe_mode = true;
    $html = $parse->BB_Parse( $parse->process($value) );


    Для атрибутов HTML — htmlspecialchars($value, ENT_QUOTES, 'UTF-8').

    Мы уже не трогаем сериализацию XFields напрямую в плагине; в AJAX-эндпойнтах (preview/save) используем ParseFilter и штатные API — это сохранит совместимость c DLE 19+.
  • Yutube | Как получить значения дополнительных пол ... 6
    Фото Yutube
    Yutube
    Как получить значения дополнительных полей?
    Вчера, 17:18
    Большой спасибо, действительно это сработало, вчера 5 часов без остановки перепробовал всё возможное, помню что даже код который вы подсказали, но не как не мог получить результат, но сейчас это сработала, видимо всё таки в какой-то части кода не то делал, ещё раз огромное спасибо
  • web102 | Как получить значения дополнительных пол ... 6
    Фото web102
    web102
    Как получить значения дополнительных полей?
    Вчера, 16:58
    попробуйте $xfieldsdata = DLEXFields::xfieldsdataload($row['xfields']);
  • Yutube | Как получить значения дополнительных пол ... 6
    Фото Yutube
    Yutube
    Как получить значения дополнительных полей?
    Вчера, 13:40
    TeraMoune,
    Спасибо за ответ, единственно так как пхп я не очень, можете пожалуйста примерно подсказать как именно вывести содержимое с доп. поли, или исправить выше код, буд эу очень благодарен
  • TeraMoune | Как получить значения дополнительных пол ... 6
    Фото TeraMoune
    TeraMoune
    Как получить значения дополнительных полей?
    Вчера, 12:23
    Не решение, а информация.

    Вся логика работы доп. полей теперь перешла в отдельный класс engine/classes/xfields.class.php. Чтение и присвоение тегов из данных полей осуществляется в функции Compile в классе работы с доп. полями.
  • madpitbull | Убираем xfsearch из адресной строки 8
    Фото madpitbull
    madpitbull
    Убираем xfsearch из адресной строки
    28-10-2025, 15:02
    Нет ли у кого решения исправить данную ошибку с пробелом?
  • New-dev.ru | Как реализовать динамические тайтлы в ка ... 1
    Фото New-dev.ru
    New-dev.ru
    Как реализовать динамические тайтлы в категориях?
    25-10-2025, 13:46
    Посмотрите платный модуль - https://new-dev.ru/116-magicseo-meta-tegi-i-drugaya-seo-optimizaciya-razdelov-sajta.html , может подойдет. А заказывать с нуля под свои нужды - скорее всего дороже выйдет.
  • sokolov.mgn | Дополнительное поле - checkbox в DLE 8
    Фото sokolov.mgn
    sokolov.mgn
    Дополнительное поле - checkbox в DLE
    14-10-2025, 10:08
    [xfgiven_field] [xfvalue_field] [/xfgiven_field]

    У вас опечатка
наверх