我有一个网站,需要在用户互动的基础上增加数据库的价值。当用户单击某个按钮时,将调用一个php脚本来递增该值。我希望保护此脚本不被外部脚本访问。目前,用户可以使用javascript函数编写自己的web页面,该函数可以重复点击同一个php文件,从而使数据库中的值爆炸。
下面是执行递增操作的jquery代码:
jQuery(function(){
$('.votebtn').click(function(e){
var mynum = $(this).attr('id').substring(0,5);
$.ajax({
url:"countvote.php",
type:"GET",
data: {
thenum:mynum
},
cache: false,
success:function(data) {
alert('Success!');
}
}
});
});
});
我将如何进行这样的操作,以便只有来自本地服务器上的Ajax/jQuery的调用才能访问'countvote.php'?如果这不是正确的方法,我愿意接受任何可以防止我的php脚本被外部脚本滥用的建议。
解决方案需要两个步骤。
首先,ajax文件必须只允许使用以下代码在ajax请求中访问。
define('IS_AJAX', isset($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest');
if(!IS_AJAX) {die('Restricted access');}
其次,ajax文件可以使用命令$_server['HTTP_REFERER']以文件的名义访问它。因此您只能限制对主机服务器的访问。
$pos = strpos($_SERVER['HTTP_REFERER'],getenv('HTTP_HOST'));
if($pos===false)
die('Restricted access');
也许代码只能用于第二部分
您可以检查$_server['http_x_requested_with']是否等于XMLHttpRequest,但这不是确定请求是否是AJAX请求的可靠方法,总有一种方法可以绕过这个问题。但是它可以保护您不被随机点击,比如错误输入的URL,爬虫等。
其实并没有一个百分之百的方法来做到这一点。AJAX请求总是来自客户机。使用POST请求而不是GET,这将有助于阻止任何问题,但不能完全阻止它们,在php中,只需删除所有GET请求。
