只允许通过本地服务器上的ajax访问PHP文件

2018-06-19 19:03:53

我有一个网站需要根据用户交互增加数据库中的值。当用户点击一个按钮时，会调用一个php脚本来增加该值。我想保护这个脚本不被外部脚本访问。目前，用户可以使用JavaScript函数编写他们自己的网页，该函数重复地点击相同的php文件以炸毁数据库中的值。

这里是我的jQuery代码，增加了：

jQuery(function(){
$('.votebtn').click(function(e){
    var mynum = $(this).attr('id').substring(0,5);
    $.ajax({
            url:"countvote.php",
            type:"GET",
            data: { 
                thenum:mynum
            },
            cache: false,
            success:function(data) {
                alert('Success!');
                }
            }
        });
});
});

我该如何去做，以便只有来自本地服务器上的ajax / jquery的调用才能访问'countvote.php'？如果这不是正确的方法，我会接受任何建议，以防止我的php脚本被外部脚本滥用。

解决方案需要两个步骤。

首先，ajax文件必须允许仅在具有此代码的ajax请求中进行访问。

define('IS_AJAX', isset($_SERVER['HTTP_X_REQUESTED_WITH']) &&      strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest');
if(!IS_AJAX) {die('Restricted access');}

其次，ajax文件可以使用命令$ _SERVER ['HTTP_REFERER']调用它的文件名访问。所以你只能在主机服务器上限制访问。

$pos = strpos($_SERVER['HTTP_REFERER'],getenv('HTTP_HOST'));
if($pos===false)
  die('Restricted access');

也许代码只能与第二部分一起工作

您可以检查$_SERVER['HTTP_X_REQUESTED_WITH']等于xmlhttprequest ，但它不是一个可靠的方法来确定请求是否是AJAX请求，总是有办法解决这个问题。但它可以保护您免受随意输入的网址，例如错误输入的网址，爬虫等。

这不是真正的100％的方法。 AJAX请求总是来自客户端。使用POST请求而不是GET，这将有助于阻止任何问题，但不能完全阻止它们，并在您的PHP中，只是放弃所有的请求。

链接地址: http://www.djcxy.com/p/55713.html

上一篇: Allow access to PHP file only through ajax on local server

下一篇: Setting the cache in jQuery $.post() to be false?