[ps915]

Hallo,
ich arbeite zurzeit etwas mit Ajax! Meine Frage ist:

Kann man die Dateien, die man per Ajax aufruft, vor direktem Zugriff schützen?

var url='ajax/vote.php?star_nr=' + star_nr + '&page=' + page;
request.open('GET', url, true);

Wie könnte ich nun die vote.php schützen, dass sie nur per Ajax ausrufbar ist, also nicht per Direktzugriff?

Gruß,
Toasterfraktion

[[Elite-|-Killer]]

Eine Unique-ID per Get mitgeben, wobei sich mir der Sinn des ganzen nicht so recht erschließt, und ein Direktzugriff damit auch nicht zu 100% ausgeschlossen ist.

[b0toxXP]

Du könntest es so machen wie mit man es auch mit .htusers etc. Dateien machen sollte. Außerhalb des erreichbaren Bereiches deines Webspaces positionieren.

Bei mir wäre das z.B. oberhalb von htdocs/

Dort kannst du dann nur noch per Aufruf drauf zugreifen aber nicht mehr direkt über den Browser.

ODER du packst das ding einfach in ein Verzeichnis welches mittels .htaccess geschützt ist.

Gruß

B0toxXP

[[Elite-|-Killer]]

Öhm, wenn das Ding durch htaccess geschützt ist kommst ja weder durch den Browser direkt noch per xmlHttpRequest dran?!

[ps915]

ja, würde ich auch sagen, denn eigentlich ruft der js-code ja nur unsichtbar für den User die Datei auf, also ob man es direkt machen würde!

Kann man nicht irgendwie Sessions per ajax an die Datei senden?

[eNx]

Du fügst in deine ajax/vote.php ein:

CODE

<?
if( isset( $_SERVER['HTTP_X_REQUESTED_WITH'] ) && $_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')
{
echo 'valid ajax request';
}
else
{
die('forbidden');
}

Das sorgt dafür, dass wirklich nur ajax-calls durchkommen.
(ungetestet auf syntax-fehler etc )

[ps915]

Hey eNx, in $_SERVER['HTTP_X_REQUESTED_WITH'] ist nie ein Wert zu finden. Egal ob ich die .php direkt aufrufe oder per Ajax. Ich muss aber dazu sagen dass ich das mit XAMPP noch am laufen habe, das dürfte aber nicht der Fehler sein!?

Ich denke der Grund dass die Variable leer ist dass das Parameter garnicht übergeben wurde. Ich lege ja selber fest welche Daten per Post-Methode übergeben werden. Wenn Ajax aber die Variable "mitschickt" wäre es ja idel, bei mir ist das aber leider nicht der Fall.

Die .php weiß doch eigentlich nicht ob es nun ein Ajax oder ein Direktuigriff ist, oder?

Gruß und Frohe Weihnachten
Phil

EDIT:

Habe es gerade mit jQuery getestet, da geht es, warum aber nicht bei normalem Ajax-Code, also ohne Framework ?

Dieser Beitrag wurde von Toasterfraktion bearbeitet: 25. Dezember 2008 - 01:07

[eNx]

ähm, ja - mein Fehler
Ich bin davon ausgegangen, dass Du mit jQuery oä den ajax-call abschickst und habe den Ursprungscode wohl einfach überlesen.. Sorry!

Den Aufruf den Du im ersten Post beschrieben hast, ist ja kein direkter "AJAX"-Call, sondern vielmehr ein URL-Aufruf via JavaScript. (Vollkommen konform, aber dennoch eine einfach Abfrage - kein "XML-Request")

Ich empfehle dir so oder so, ein JS Framework genau dafür zu nutzen (Ob jetzt jQuery, Prototype, Y!Tools oä). Der Unterschied liegt wie meistens im Detail
Sogut wie jedes JS Framework liefert einen ordentlichen ajax-call ab. Und genau dann hast du auch die richtigen header-varibalen in php.

Dir auch Frohe Weihnachten

[ps915]

@ eNx
Das trifft sich aber auch gut, hatte es mit einem eigenen Ajax Code getestet und es ist gar kein Problem auf jQuery umzusteigen was ich nun auch gemacht habe.

Bedanke mich trotzdem recht herzlich, hab nun endlich eine Möglichkeit die .phps zu schützen! :-)

Schöne Feiertage,
Toasterfraktion

[eNx]

Gerne, freut mich dass es klappt

Dir auch noch schöne Feiertage!