Как закрыть доступ к скриптам php из адресной строки?

Question

[evve]

upd: Я хочу предостеречь всех желающих ответить на этот вопрос. Мне неожиданно "повезло" и мой вопрос модерируется FanatPhp, активным борцом за справедливость и праведность в php! Во избежание получения негативных комментариев в адрес своей личности от FanatPhp прошу не пытаться отвечать на этот вопрос. Более конкретно можно посмотреть в комментариях...
FanatPhp отдельное спасибо за модерирование ответов на мой вопрос. Возможно у Вас и есть какие-то знания по php, но это не заметно. Т.к. все Ваши замечания сводятся к комментированию личностей отвечающих людей, а не к конкретным указаниям что не так в их ответе. Было бы гораздо полезнее если бы Вы комментировали решения людей, а не их личности. Вместо "ты дурак и ответ твой тупой" , а "Ваше РЕШЕНИЕ не верно, по следующим причинам: ...." .
Впрочем, вопрос более не актуален. Удалять пост не буду, хочу оставить для примера ваши комментарии они очень характеризуют вашу личность.
======================================================================================

Доброго времени суток!

Форма на сайте отправляется по средством ajax скриптом php/rest.php Как запретить запуск скрипта из адресной строки sitename.com/php/rest.php, а разрешить запуск только из ajax.

Пробовал переделать конфиг nginx ставил запрет запуска, даже в приоритетности правил ставил первым ничего не помогает.

Вот мой конфиг:

server {
            listen X.X.X.X:80;
            server_name sitename.com;
            access_log /home/username/logs/nginx_access.log;
            error_log /home/username/logs/nginx_error.log;
            root /home/username/www;
            client_max_body_size 256M;

            location ~ /php/(.+)\.php$ {
                deny all;
            }
            location / {
                index index.html;
                if (!-e $request_filename) {
                    rewrite ^/(.*)$ /index.html?q=$1 last;
                }
            location ~ \.php$ {
                fastcgi_pass unix:/var/run/sitename.sock;
                fastcgi_index  form.php;
                fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
                fastcgi_read_timeout 120;
                include        fastcgi_params;
            }
            location ~ /\. {
                deny all;
                access_log off;
                log_not_found off;
            }
          }

Даже пробовал поставить первым:

location = /php/rest.php { 
    deny all;
 }

Answer 1

[FanatPHP]

Как запретить запуск скрипта из адресной строки sitename.com/php/rest.php, а разрешить запуск только из ajax.

НИКАК
Читаем Как работает РНР, где он выполняется?, много думаем над осмысленностью такой постановки вопроса

Comments

[PO6OT]

OnYourLips: ему это и надо

Answer 2

[Антон Шаманов]

Добавить проверку по "токену", наличию заголовка HTTP_X_REQUESTED_WITH.

Answer 3

[KoiGva]

Хранить php-скрипты за пределами видимости веб-сервера.

Comments

[evve]

Это как? а кто будет тогда обрабатывать скрипты?

[KoiGva]

Да, не до конца дочитал вопрос. А как насчет хеша с солью? Закидывать в форму и проверять в ajax-скрипте?

[FanatPHP]

и кому это помешает точно так же получить хеш и отправить его обратно?

[KoiGva]

заранее хешировать что-либо заранее известное с солью и передавать в форму. а формой передавать это самое заранее известное и хеш. на сервере сверять.

[FanatPHP]

Послушай. Не надо мучаться и выдумывать всякую ерунду. Просто удали свой ответ - и все.

[KoiGva]

Что не так? Обоснуй.

[FanatPHP]

Это ты должен обосновать, как твоя фантазия помешает кому-то получить "что-либо заранее известное с солью", сделать хэш и вернуть.

[Сергей Сова]

FanatPHP: интересно, а ты сможешь?
условия: хеш берется от имени пользователя.
в данном случае имя: lestad, хэш: 6a7634d245a39b3382a0bd94300a0a60
Получи пожалуйста хэш для имени: nower

[FanatPHP]

Сергей Сова: Блин, еще один. Сначала объясни, как это абстрактное хэширование применить для РЕШЕНИЯ КОНКРЕТНОГО ВОПРОСА КОТОРЫЙ ЗДЕСЬ ОБСУЖДАЕТСЯ. Ты его хоть понял?

[Сергей Сова]

FanatPHP: после загрузки страницы, клиент получает определенный идентификатор. Назовем его token
При каждом запросе токен обновляется. К примеру так:
1. Пришел запрос, увеличить счетчик ajax-запросов
2. Сформировать $token = md5(sha1($user->name . SPECIFYSOLT . $user->ajax_count));
3. Отдать клиенту
Подделать запрос то, можно, но сложнее и только один (а можно использовать серию вида (запрос-ответ-запрос))
Также можно просто проверять наличие $_POST данных в файле /php/rest.php и всё.
Но если важные данные или нужна безопасность, то выше я написал один вариант.

Answer 4

[Сергей Сова]

После загрузки страницы, клиент получает определенный идентификатор. Назовем его token
При каждом запросе и обновлении страницы токен обновляется. К примеру так:
1. Пришел запрос, увеличить счетчик ajax-запросов
2. Сформировать $token = md5(sha1($user->name . SPECIFYSOLT . $user->ajax_count));
3. Отдать клиенту
Подделать запрос то, можно, но сложнее и только один (а можно использовать серию вида (запрос-ответ-запрос))
Также можно просто проверять наличие $_POST данных в файле /php/rest.php и всё.
Но если важные данные или нужна безопасность, то выше я написал один вариант.

Comments

[FanatPHP]

неужели трудно сообразить, что если что-то доступно одному клиенту, то любому другому это будет доступно тоже? Скажи, ну какая проблема прочитать этот твой хэш столько раз, сколько нужно?

[Сергей Сова]

FanatPHP: молодой человек, почитайте немного о компьютерной безопасности
Авторизация token'ами используется давно и единственный способ получить чужой токен -- это украсть его с компьютера конкретной жертвы

[Сергей Сова]

FanatPHP: На разных клиентах, разные токены

[FanatPHP]

OMG. в этом вопросе ВООБЩЕ нет ничего про авторизацию и чужие токены. тебе не про компьютерную безопасность надо читать, а просто ЧИТАТЬ надо научиться. НЕ НУЖНО красть токен, если его можно просто ПОЛУЧИТЬ. Я офигеваю с вас ребята.

[Сергей Сова]

FanatPHP: ты можешь получить токен для СЕБЯ! Но никак не чужой!
Я могу написать простой скрипт, и посмотрим как ты токен украдешь!

[FanatPHP]

Ты совсем тупой? Да, токен украсть нельзя. Но это не имеет отношения к вопросу. Сотри уже свой "ответ", не выставляй себя еще большим дураком.

[Сергей Сова]

FanatPHP: ясно всё с тобой

[FanatPHP]

Нет, неясно. Ты или тупой, или решил закосить под дурачка. Я верю в людей, и склоняюсь ко второму. Сначала ты написал тупой ответ на тупой вопрос, "как закрыть доступ на уровне протокола НТТР к скрипту, к которому должен быть доступ по НТТР". А теперь ты про то валяешь дурочку, и с понтом не понимаешь, о чем был вопрос. Типа вопрос был про авторизацию и кражу токенов. И гордо на него отвечаешь, лол. В общем, в любом случае ты выставляешь себя либо дураком, либо лжецом. Решай сам что тебе лучше подходит.

[Сергей Сова]

FanatPHP: человек, оскорбляющий другого без повода, выглядит как минимум низко.
Человек оскорбляющий других, выглядит как минимум обарзевшим.
Уважаемый, сбавьте тон и приспустите свои амбиции.
В комментариях выше дали ответ, что технически это не реализуемо.
А также было выяснено, что нужно вопрошающему, а нужно было ему, позволить делать AJAX-запросы к скрипту, а в случае "не AJAX-запроса" не делать ничего.
В диалоге, с тобой возник вопрос, а как же защитить кражу данных в случае проверки по токену.
Собственно это я и написал.
Дальнейший разговор не имеет смысла.

[FanatPHP]

Не юли. И не ври. Во-первых, если ты понимаешь, что предложенная тобой в ответе схема "технически нереализуема", то ты должен извиниться перед автором вопроса и стереть свой никчемный ответ. Во-вторых, не надо врать: в диалоге со мной не возникало и не могло возникнуть никаких вопросов по защите токенов. Такой вопрос возник исключительно в твоем больном воображении. Все что я говорил - это что твоя система с токенами не поможет автору закрыть скрипт от запросов.

[Сергей Сова]

FanatPHP: facepalm =D
Я говорил, о том как распознать правильный AJAX-запрос)))
Дальше говорить ничего не буду. Пиши что хочешь.

[FanatPHP]

И опять ты врёшь. Как распознать, написал Антон Шаманов, задолго до твоего бессмысленного ответа. Ты же написал полную ерунду, которая как раз не отличает, откуда пришел запрос и работает с любыми. Я впервые сталкиваюсь с таким наглым враньем. Обычно так врать отучают еще в детском саду. У тебя, видимо, какая-то патология.

Answer 5

[akov]

Или не счетчик, а microtime, чтобы не считать запросы:

$token = md5(sha1($user->uid .'SALT'. microtime(1)));

Comments

[FanatPHP]

господи, опять этот бред. НУ НИКАК ЭТО НЕ ЗАЩИТИТ ОТ "ЛЕВЫХ" ЗАПРОСОВ. Я понимаю, что узость твоего мышления позволяет тебе из всего вопроса увидеть только одну строчку. Но это не значит, что на нее надо и отвечать. Если ты не можешь понять вопрос ЦЕЛИКОМ, то и отвечать на него не надо.