Как обезопасить такой get запрос?

Question

Антон @boypush

Geek

Как обезопасить такой get запрос?

На js с помощью fetch посылаю get запрос с параметрами:

<script>
var paramsnew = 1;
fetch('file.php?params=' + paramsnew);
</script>

Обрабатываю запрос file.php

<?file_put_contents('file.txt', file_get_contents('file.txt') + $_GET['params']);?>

Как можно обезопасить get запрос, чтобы к примеру нельзя было в адресной строке ввести этот запрос и передать произвольное число?

Вопрос задан более двух лет назад
368 просмотров

14 комментариев

Подписаться 1 Простой 14 комментариев

iBird Rose @iiiBird

никак. изменяй логику задачи

Написано более двух лет назад
Дмитрий @iMedved2009
1. как минимум стоит читать документацию про флаг FILE_APPEND

<?file_put_contents('file.txt', $_GET['params'], FILE_APPEND);?>

2. От чего вы собираетесь защищаться?
Написано более двух лет назад
Антон @boypush Автор вопроса

1. Спасибо, ознакомлюсь.
2. Я же написал что передаю число параметр в get запросе и на уровне php прибавляю это число в файле. Защититься хочу чтобы пользователь не мог скажем так ввести запрос в адресную строку браузера site.ru?params=передать свое число

Написано более двух лет назад
Антон @boypush Автор вопроса

iBird Rose, Прям вообще никак? А нельзя через fetch послать особый header и в php сделать условие именно на этот header?

Написано более двух лет назад
Дмитрий @Compolomus Куратор тега PHP

Антон, вы бы задачу описали, можно фильтры прикрутить, черные\белые списки и прочее

Написано более двух лет назад
iBird Rose @iiiBird

Антон, ну через браузерную адресную строку ты защитишься этим. но есть к примеру postman и подобный софт, где можно воспроизвести любой запрос с любыми настройками

Написано более двух лет назад
Дмитрий @Compolomus Куратор тега PHP

если это какой то счетчик, то выкинуть из этой связки js

Написано более двух лет назад
Антон @boypush Автор вопроса

Дмитрий, да типа счетчик, но события для него происходят посредством js, выкинуть не получится.

Написано более двух лет назад
Дмитрий @Compolomus Куратор тега PHP

Антон, ну так же, уберите параметры из запроса, а пыхом прибавляйте нужное число

Написано более двух лет назад
Антон @boypush Автор вопроса

Дмитрий, а как php выполнить в js?

Написано более двух лет назад
Антон @boypush Автор вопроса

Дмитрий, нужное число не фиксированное а динамическое и берется из js, и как мне передать его в php без get запросов, ajax ов и прочего? Помоему никак.

Написано более двух лет назад
Дмитрий @iMedved2009

Антон, никак. какие бы вы ухищрения не придумали, их можно так или иначе эмулировать. а вообще задача в общем какая, то бишь что вы в общем хотите сделать этим запросом?

Написано более двух лет назад
Антон @boypush Автор вопроса

Дмитрий, Игра на js, так уж случилось что понадобилось записать значение расстояния в txt файл и чтобы пользователь не смог это расстояние в ручную скорректировать путем отправки get запроса в адресную строку

Написано более двух лет назад
v3shin @v3shin

Передавать действия пользователя, приведшие к данному результат. Обрабатывать их на бэке.
Если двоечник списал у отличника и выдал правильный результат, что у него спрашивают?

Написано более двух лет назад

1. как минимум стоит читать документацию про флаг FILE_APPEND

<?file_put_contents('file.txt', $_GET['params'], FILE_APPEND);?>

2. От чего вы собираетесь защищаться?
1. Спасибо, ознакомлюсь.
2. Я же написал что передаю число параметр в get запросе и на уровне php прибавляю это число в файле. Защититься хочу чтобы пользователь не мог скажем так ввести запрос в адресную строку браузера site.ru?params=передать свое число
iBird Rose, Прям вообще никак? А нельзя через fetch послать особый header и в php сделать условие именно на этот header?
Антон, вы бы задачу описали, можно фильтры прикрутить, черные\белые списки и прочее
Антон, ну через браузерную адресную строку ты защитишься этим. но есть к примеру postman и подобный софт, где можно воспроизвести любой запрос с любыми настройками
если это какой то счетчик, то выкинуть из этой связки js
Дмитрий, да типа счетчик, но события для него происходят посредством js, выкинуть не получится.
Антон, ну так же, уберите параметры из запроса, а пыхом прибавляйте нужное число
Дмитрий, нужное число не фиксированное а динамическое и берется из js, и как мне передать его в php без get запросов, ajax ов и прочего? Помоему никак.
Антон, никак. какие бы вы ухищрения не придумали, их можно так или иначе эмулировать. а вообще задача в общем какая, то бишь что вы в общем хотите сделать этим запросом?
Дмитрий, Игра на js, так уж случилось что понадобилось записать значение расстояния в txt файл и чтобы пользователь не смог это расстояние в ручную скорректировать путем отправки get запроса в адресную строку
Передавать действия пользователя, приведшие к данному результат. Обрабатывать их на бэке.
Если двоечник списал у отличника и выдал правильный результат, что у него спрашивают?

Answer 1 · 2023-01-26 12:45:33

В общем случае если url формируется на фронте, то - защититься нельзя, можно лишь усложнить подмену. Если же url можно генерить на бэке, то используя технику подписи (вариант описал описал выше PageUp) можно контролировать процесс передачи.

Как обезопасить такой get запрос?

Войдите на сайт