Allow access to PHP file only through ajax on local server
我有一个网站需要根据用户交互增加数据库中的值。 当用户单击一个按钮时,会调用php脚本来增加该值。 我想保护这个脚本不被外部脚本访问。 目前,用户可以使用javascript函数编写自己的网页,该函数反复点击相同的php文件以炸毁数据库中的值。
这是我的jquery代码,用于递增:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | jQuery(function(){ $('.votebtn').click(function(e){ var mynum = $(this).attr('id').substring(0,5); $.ajax({ url:"countvote.php", type:"GET", data: { thenum:mynum }, cache: false, success:function(data) { alert('Success!'); } } }); }); }); |
如何才能使本地服务器上的ajax / jquery调用只能访问'countvote.php'? 如果这不是正确的方法,我会接受任何可能阻止我的PHP脚本被外部脚本滥用的建议。
该解决方案需要两个步骤。
首先,ajax文件必须仅允许使用此代码在ajax请求中进行访问。
1 2 | define('IS_AJAX', isset($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest'); if(!IS_AJAX) {die('Restricted access');} |
其次,ajax文件可以使用命令$ _SERVER ['HTTP_REFERER']调用它来调用文件名。
因此,您只能在主机服务器中限制访问。
1 2 3 |
也许代码只适用于第二部分
您可以检查
这不是真正的100%方法。 AJAX请求总是来自客户端。 使用POST请求而不是GET,这将有助于阻止任何问题,但不能完全阻止它们,并在您的PHP中,只需删除所有获取请求。