Failo blokavimas

Ar gerai darau? gal pasiūlysit kitą variantą, nes šitas man ne prie širdies visiškai

yra failas /include/failas.php

ir index.php

AJAX'as jį naudoja norint pateikti informaciją realiu laiku i6 index.php

noriu kad tik prie jo galėtų prieti tik AJAX, nes einant į /include/failas.php failą galima viską peržiūrėti, su htaccess bandžiau deny from all, tada skriptas neveikia.

Dabartinis variantas

$_SERVER['REQUEST_URI'] != '/include/failas.php' // tada skriptas veikia

Ar tai geras variantas? gal ką pasiūlysit dar?

http://stackoverflow.com/questions/2679524/block-direct-access-to-a-file-over-http-but-allow-php-script-access

Gali arba dėti savo failus direktorija aukščiau www folderio arba su htaccess blokuoti ką dabar ir darai.

Ant PHP naudoju šita :)

$php_self = $_SERVER['PHP_SELF'];
$file_url = "/failas.php";
if ($php_self == $file_url) { exit; };

kaip cia galima perziureti php source???

kaip cia galima perziureti php source???

Neperžiūri php source, bet tiesiog skriptas nuėjus veikia, be jokių bėdų reikia, jog žmonės negalėtų jos paleist einant į nuorodą tiesiogiai, o ajax galėtų veikt :)

Neperžiūri php source, bet tiesiog skriptas nuėjus veikia, be jokių bėdų reikia, jog žmonės negalėtų jos paleist einant į nuorodą tiesiogiai, o ajax galėtų veikt :)

durnizmas

To padaryti neimanoma.

To padaryti neimanoma.

Kodel? Nuo vartotoju imanoma

Jeigu naudoji cron tai:

Naudok token.

index.php?token=123456789irt.t.

if ((string)$_GET['token'] != 'kazkas') { exit; }

Jeigu useris kreipiasi:

Dėk patikrinimą ar prisijungęs ir tuomet tik jam išvesk duomenis.

Jeigu nori kad tik Ajax užklausa kreiptųsi į failą, o useris tiesiogiai kreipdamasis į failą nieko nematytų, to nepadarysi. Kodėl? Ajax užklausa galima sakyti tas pats kas naujas naršyklės tabas.

Iš esmės neapsaugosi, kad per AJAX būtų galima veiksmą atlikti, o įprastai – ne. Visus AJAX požymius (X-Requested-With, Referer) galima laisvai sufeikinti pasidarius savo requestą. Todėl visada reikia limitus, apsaugas daryti serverio pusėj, ne kliento (kad net jei paleistų daug kartų tą skriptą, jis nesivykdytų, jei to nereikia).

Isgalvojau toki buda, bet toks budas bus labai neoptimalus :D

faile kuriame yra kreipimasis i ta failas.php susigeneruoji unikalu koda ir irasai ji ar i mysql ar i txt faila ir kreipiesi i faila failas.php?k=unikalus_kodas. Paciame failas.php tikrini ta koda su kodu esanciu mysql/txt faile ir jei sutampa, tada leidi paleist failas.php ir iskart istrini ta koda is mysql/txt failo. Tokiu atveju be sugeneruoto kodo negales vartotojas jo pasiekti. Jei tas failo kelias matosi per index.php source, tai vistiek pades nuo useriu. Nes bus sukurtas kodas, kreiptasi i faila ir kodas bus istrintas kol uzsikraus visas index.php. :) Tai vartotojas su tuo metu esanciu unikaliu kodu negales pasiekt, nes jau jis bus panaudotas.

Cia tokia man mintis butu, kiek cia optimalumo, tai leidziu paciam sprest :D