У меня есть сайт в базу данных которого записываются активные токены после аутентификации. В базе содержится информация :
ID токена
Ключ токена
Активный токен или нет ( 0 или 1 ) .
----------------------
А так же у меня на этом же домене есть PHP скрипт, который работает сам по себе. Я бы хотел предоставлять доступ к этому PHP скрипту только авторизованных пользователь с основного сайта.
К сожалению подвязать мой скрипт к сайту я не могу.
Себе я представляю это так. При обращении к моему PHP скрипту
1) Создаётся сессия.
2) Делаю sql запрос в базу данных основного сайта к таблице с токенами аутентификации.
2) Сравниваю IP в базе данных с $_SERVER['REMOTE_ADDR'] и если совпадения найдены присваиваю ID токен к переменной сессии.
У меня сейчас вот такой код, он сравнивает только IP адрес:
session_start();
$ref = $_SERVER['REMOTE_ADDR'];
require'conn.php';
$query = "SELECT * from token where ip '%$ref%' AND active Like '1' ";
$result = mysqli_query($conn,$query);
$user = mysqli_fetch_assoc($result);
if (!empty($user)) {
$_SESSION['nim'] = true;
}
if (isset($_SESSION['nim']) && $_SESSION['nim'] === true) : ?>
Пожалуйста помогите разобраться в вопросе или дайте совет как надёжней защитить скрипт от не авторизованных повествователь с основного сайта. Моя задача в том, что бы не дать работать скрипту не авторизованному пользователю с основного сайта.
Средний
