//запрет прямого доступа
defined( '_JEXEC' ) or die( 'Restricted access' );
какое условие необходимо добавить?
страница то вызывается аяксом, надо пропустить...
Спустя 1 минута, 20 секунд (20.06.2010 - 20:31) netruxa написал(а):
заккоментировать эту строчку))
Спустя 16 минут, 8 секунд (20.06.2010 - 20:47) zvezda_t написал(а):
Глобальная переменная $_SERVER['HTTP_X_REQUESTED_WITH'] имеет значение XMLHttpRequest, если этот объект был создан, т.е. ajax-запрос был отправлен.
Спустя 35 секунд (20.06.2010 - 20:47) zvezda_t написал(а):
сама нашла 
Спустя 37 секунд (20.06.2010 - 20:48) Basili4 написал(а):
zvezda_t
А если создан был ActiveX ???
А если создан был ActiveX ???
Спустя 2 минуты, 8 секунд (20.06.2010 - 20:50) zvezda_t написал(а):
| Цитата |
| А если создан был ActiveX ??? |
а я не знаю...
как быть? Спустя 4 часа, 4 минуты, 56 секунд (21.06.2010 - 00:55) qpayct написал(а):
не ну розовые шортики просто отпад 
Спустя 1 месяц, 22 дня, 7 часов, 16 минут, 48 секунд (13.08.2010 - 08:12) zvezda_t написал(а):
как узнать что страница была аяксом вызвана скажите пожалуйста...
Спустя 8 минут, 11 секунд (13.08.2010 - 08:20) twin написал(а):
if(!defined( '_JEXEC' ))
echo 'Дас ист аякс.';
Спустя 1 час, 35 минут, 20 секунд (13.08.2010 - 09:55) zvezda_t написал(а):
| Цитата (twin @ 13.08.2010 - 05:20) |
if(!defined( '_JEXEC' )) |
ага))) а если это не мой запрос аякс - а реальная атака на сайт? Спустя 9 минут, 9 секунд (13.08.2010 - 10:04) Гость_Michael написал(а):
| Цитата (zvezda_t @ 13.08.2010 - 06:55) |
| ага))) а если это не мой запрос аякс - а реальная атака на сайт? |
уточни, ты вообще о чем, о какой атаке? подробности атаки и чем код не устраивает?
Спустя 2 минуты, 17 секунд (13.08.2010 - 10:07) Basili4 написал(а):
zvezda_t
Ну если автороботы атакуют то но попросить их вести циферь 5. они и повиснут. Да да Попов так и думает.
Ну если автороботы атакуют то но попросить их вести циферь 5. они и повиснут. Да да Попов так и думает.
Спустя 48 минут, 25 секунд (13.08.2010 - 10:55) twin написал(а):
| Цитата |
| ага))) а если это не мой запрос аякс - а реальная атака на сайт? |
ты немного не с той стороны мыслишь. аякс - это тот же запрос по HTTP протоколу. По этому защищать этот файл ключем нет смысла. Файл должен отработать и дать ответ.
Твой или не твой аякс ты никак не определишь, ибо запрос идет от клиента, а не с твоего сайта. А что там на клиенте делается - никому не известно. Либо твой скрипт работает, либо чужой. Запрос они пошлют одинаковый.
Строчка
if(!defined( '_JEXEC' ))
имеет смысл тогда, когда нужно поменять пути инклюда или подключить другую группу файлов. Или другие действия совершить.
В зависимости от того, в системе работает файл или вызван автономно:
if(!defined( '_JEXEC' ))
{
// делаем то, что нужно в системе
}
else
{
// автономная работа
Спустя 9 месяцев, 17 дней, 18 часов, 30 минут, 42 секунды (31.05.2011 - 05:26) ecolora написал(а):
Вопрос актуален и для меня. Дело в том, что я планирую вызывать аяксом страницу, которая не просто меняет содержимое, но сканирует папку и выдает список подпапок, это нужно для дерева. Так вот как защититься от произвольных пользователей, ведь любой, кто получит испходники, увидит, что можно обратиться напрямую к аякс скрипту и получить список папок на сервере или подпапок в папке, а это не есть хорошо.
Спустя 26 минут, 17 секунд (31.05.2011 - 05:52) inpost написал(а):
ecolora
Со своими вопросами в свои темы. Не вижу смысла защищаться от произвольных пользователей, когда этим же произвольным пользователям доступ есть.
Со своими вопросами в свои темы. Не вижу смысла защищаться от произвольных пользователей, когда этим же произвольным пользователям доступ есть.
_____________
Что ты сделал сегодня - для завтра?
"Приидите ко Мне вси труждающиеся и обремененнии и Аз упокою вы, возмите иго Мое на себе и научитеся от Мене яко кроток есмь и смирен сердцем и обрящете покой душам вашим, иго бо Мое благо и бремя Мое легко есть."(Мф. 11:28-30)