Как обезопасить такой get запрос?

Question

[Антон]

На js с помощью fetch посылаю get запрос с параметрами:

<script>
var paramsnew = 1;
fetch('file.php?params=' + paramsnew);
</script>

Обрабатываю запрос file.php

<?file_put_contents('file.txt', file_get_contents('file.txt') + $_GET['params']);?>

Как можно обезопасить get запрос, чтобы к примеру нельзя было в адресной строке ввести этот запрос и передать произвольное число?

Comments

[iBird Rose]

никак. изменяй логику задачи

[Дмитрий]

1. как минимум стоит читать документацию про флаг FILE_APPEND

<?file_put_contents('file.txt', $_GET['params'], FILE_APPEND);?>

2. От чего вы собираетесь защищаться?

[Антон]

1. Спасибо, ознакомлюсь.
2. Я же написал что передаю число параметр в get запросе и на уровне php прибавляю это число в файле. Защититься хочу чтобы пользователь не мог скажем так ввести запрос в адресную строку браузера site.ru?params=передать свое число

[Антон]

iBird Rose, Прям вообще никак? А нельзя через fetch послать особый header и в php сделать условие именно на этот header?

[Дмитрий]

Антон, вы бы задачу описали, можно фильтры прикрутить, черные\белые списки и прочее

[iBird Rose]

Антон, ну через браузерную адресную строку ты защитишься этим. но есть к примеру postman и подобный софт, где можно воспроизвести любой запрос с любыми настройками

[Дмитрий]

если это какой то счетчик, то выкинуть из этой связки js

[Антон]

Дмитрий, да типа счетчик, но события для него происходят посредством js, выкинуть не получится.

[Дмитрий]

Антон, ну так же, уберите параметры из запроса, а пыхом прибавляйте нужное число

[Антон]

Дмитрий, а как php выполнить в js?

[Антон]

Дмитрий, нужное число не фиксированное а динамическое и берется из js, и как мне передать его в php без get запросов, ajax ов и прочего? Помоему никак.

[Дмитрий]

Антон, никак. какие бы вы ухищрения не придумали, их можно так или иначе эмулировать. а вообще задача в общем какая, то бишь что вы в общем хотите сделать этим запросом?

[Антон]

Дмитрий, Игра на js, так уж случилось что понадобилось записать значение расстояния в txt файл и чтобы пользователь не смог это расстояние в ручную скорректировать путем отправки get запроса в адресную строку

[v3shin]

Передавать действия пользователя, приведшие к данному результат. Обрабатывать их на бэке.
Если двоечник списал у отличника и выдал правильный результат, что у него спрашивают?

Answer 1

[toxa82]

Никак, это запрос извне, передать могут что угодно.

Answer 2

[AlexVWill]

Пойми следующую простую логику: JS это код выполняемый на клиенте. Т.е. по большому счету все, что делает JS - делается полностью на совести клиента, в открытую, и клиент может полностью рулить процессом. Тем более, что у тебя данные не через POST передаются, а через GET (хотя большой разницы в данном случае нет), т.е. полностью открытым образом, поэтому пользователь может в строке браузера поставить что угодно. Поэтому, если ты хочешь что-то защитить, т.е. генерировать какой то код - переноси его генерацию на сервер. Ну или делай двухфакторную модель, т.е. часть генерится на сервере, часть на клиенте, и без сопоставления с серверною частью на сервере клиентская часть смысла не имеет.

Answer 3

[PageUp]

Я при передаче от клиента (приложения) данных в код php через GET делал так, создал свой уникальный ключ (любой набор символов и знаков, куча всего), он так же передается на сервер в GET запросе, а в PHP коде внутри идет проверка если значение ключа из GET совпадает с заданным в PHP файле, то только тогда GET запрос пропускать.

Соответственно извне тебе левый GET запрос не передадут не зная ключа твоего. Но это все равно не надежно, GET запросы могут перехватывать. Что уж говорить про браузер, где все это видно прямо в адресной строке. Тут уж лучше закрытыми данными передавать

Answer 4

[Александр Лыкасов]

В общем случае если url формируется на фронте, то - защититься нельзя, можно лишь усложнить подмену. Если же url можно генерить на бэке, то используя технику подписи (вариант описал описал выше PageUp) можно контролировать процесс передачи.

Answer 5

[rPman]

Вопрос задан коряво, тебе наотвечали соответственно.
Правильный вопрос (это я телепатствую) - как защитить файл file.txt от попадания в него не чисел?

Ответ - поставить либо проверку на число is_numeric и если false то возвращать код ошибки 400 с помощью http_response_code, либо принудительно преобразовывать любую строку в число с помощью к примеру intval или doubleval, которые вернут 0 для всех не чисел.

Comments

[Антон]

Вопрос задавался чтобы в file.txt попадали числа только сгенерированные скриптами

[rPman]

тебе уже все по этому ответили, внимательно развернутый ответ AlexVWill почитай
добавлю что можно ввести авторизацию, если боишься действий анонимов