Как в PHP закрыть доступ к скрипту?

Question

[nikolaypetrov]

Имеется php-скрипт.

Может запускаться через инклуд, может принимать обращения через ajax.

Как запретить доступ к нему по прямой ссылке? Возможно ли это как-то без htaccess?

Comments

[Lynn «Кофеман»]

Разве «может принимать обращения через ajax» не подразумевает «доступ к нему по прямой ссылке»?

Answer 1

[Сергей Махленко]

Воу воу. В index.php создайте константу которую будете проверять, и после во всех подключаемых файлах проверяйте ее.

// index.php - до подключения других файлов
define('MY_CONSTANT', TRUE);

// во всех подключаемых файлах делайте проверку
<?php
if (!defined('MY_CONSTANT')) exit('No direct script access allowed.');

class MY_Class {
....
}

п.с. не посмотрел дату вопроса)) но может пригодится

Answer 2

[FanatPHP]

Оставь этот файл в покое. Никому он не нужен.
Куда важнее для тебя разобраться, что
1. К информационной безопасности твой вопрос не имеет ни малейшего отношения
2. "Закрыть" этот файл от доступа извне в принципе невозможно.
3. Все вышеперечисленное плюс любимое заклинание "хтаксесс! хтаксесс!" говорит нам, что ты не понимаешь, как устроена система браузер-сервер. И вот это-то в сто раз важнее твоего несчастного файла. Тебе надо понять, как устроено веб-приложение, где у тебя РНР, а где... Как только ты это поймешь, то дурацких вопросов типа этого у тебя уже возникать не будет.

Comments

[Oleg]

сюда же добавлю мысль автору вопроса:
Подумайте, чем отличается "открытие файла через аякс", от простого открытия файла.
И что мешает злоумышленнику сделать запрос так, чтобы сервер считал что через аякс

[nikolaypetrov]

Oleg: POST-параметры? Теорию знаю, думал об этом, но тем не менее, вдруг существуют какие-то технологии и уловки, о которых я не знаю...

[Oleg]

nikolaypetrov: отличается только доп параметром который можно легко добавлять
Те от взломщика защиты нет - он сам может всегда добавить такой параметр

Answer 3

[Андрей Мохов]

if (preg_match('/' . preg_quote($_SERVER['PHP_SELF'], '/') . '$/i', str_replace('\\', '/', __FILE__))) {
    exit();
}

Comments

[FanatPHP]

слабо прочесть не только заголовок, но и текст вопроса?

[Андрей Мохов]

не слабо, вопрос звучал:
Как запретить доступ к нему по прямой ссылке? Возможно ли это как-то без htaccess?

мой код аккурат определяет по прямой ссылке обратились или нет, по хорошему нужно так:
preg_quote($_SERVER['DOCUMENT_ROOT'] . $_SERVER['PHP_SELF'])

[FanatPHP]

то есть, слово "аякс" ты не увидел? Это очень интересный случай избирательной слепоты, я не в первый раз с таким сталкиваюсь.

[nikolaypetrov]

FanatPHP: да угомонись ты уже. Нормальный ответ, годная рекомендация, ставлю класс.

[FanatPHP]

nikolaypetrov: наоборот, это ты не лезь, пока не поймешь, о чем спрашиваешь.

[nikolaypetrov]

FanatPHP: что конкретно я не понимаю? Я не так сформулировал вопрос?

[FanatPHP]

nikolaypetrov: хаха, ты до сих пор в этом сомневаешься? То есть вопрос "как запретить доступ к скрипту, к которому требуется доступ" кажется тебе нормальным и логичным?

[nikolaypetrov]

FanatPHP: ну да, вполне. Вдруг есть что-то, чего я не знаю? И я ищу новую информацию. ЧЯДНТ?

[FanatPHP]

nikolaypetrov: ну то есть тебя не смущает постановка вопроса "как закрыть доступ к тому, к чем доступ должен быть обязательно"? И ответы в стиле КО ("никак") тебя тоже до сих пор не убедили? Тогда, боюсь, новая информация тебе уже не поможет. Никакая.

Answer 4

[Максим Гаврилов]

chmod 700 filename

Comments

[FanatPHP]

Сотри свой ответ, не позорься. Это никак не поможет

[Максим Гаврилов]

FanatPHP: при прямом обращении к файлу веб сервер выдаст 403. При обращении к файлу из другого файла через директиву include страница загрузиться как обычно. Конечно на сервере стоит *nix.

[FanatPHP]

ну у тебя и каша в голове. во-первых, чаще всего веб-сервер запускается не из-под владельца сайтов. То есть, такой чмод тупо убьет весь сайт. Во-вторых, веб-сервер запускает скрипты под тем же пользователем, под которым читает файлы. и если пользователь не сможет прочесть, то РНР, запущенный из-под того же пользователя, не сможет заинклюдить. И третье - ну РАЗУМЕЕТСЯ, ты тоже не прочел про аякс.

[FanatPHP]

под пользователем чтитать UID. А то, не дай бог, ты прочтешь это как полхователь сайта и начнешь меня обвинять в неграмотности. Что меня реально в вас, ламерах, бесит - это если автору вопроса можно дать POC, а дальше он сам, то вам, сцуко, надо шлифовать каждое слово, потому что он пришел учиться, а ты - учить. И ищешь не у себя бревно в глазу - принципиальные, фундаментальные ошибки, незнание основ - а соринку у меня, отдельное слово, к оторое можно истолковать двояко или опечатку.

[Максим Гаврилов]

FanatPHP: К примеру есть 4 файла: ./index.php, ./Controller/controller.class.php, ./View/view.class.php, ./Model/model.class.php. Внутри файлов реализовано что index.php инклудит ./Controller/controller.class.php, а он в свою очередь инклудит ./View/view.class.php и ./Model/model.class.php. Я знаю что если пользователь сайта обратиться к ./View/view.class.php или ./Model/model.class.php он получит пустой экран, но все таки я хочу чтобы он не мог их запустить гепотетически. На стороне файловой системы я делаю chmod 700 ./View/view.class.php и chmod 700 ./Model/model.class.php и chmod 700 ./Controller/controller.class.php и тогда при образении к этим файлам со стороны пользователя сайта вернет пользователю 403. При выполнении include в файле index.php файлы поключаться потому что обращение будет идти к ним от имени владельца файла index.php а следовательно владельца и файлов классов. Все аякс запросы только на index.php, от остальных файлов 403. Все просто если уметь пользоваться системой безопасности файлов в линукс. Если вы не умеете ей пользоваться то не стоит говорить что это положит весь сайт, не будет обеспечивать безопасность и т.п! Все будет работать если сделать грамотно. И еще: вытаскивайте свои бревна в своих глазах и более спокойно относитесь к другим точкам зрения, способам и методам безопасности файлов! Спасибо.

[FanatPHP]

Это не будет работать, по причинам, которые я описал выше. с таким чмодом индекс не сможет заинклюдить модель. Горите в аду, ламеры. Максим Каракулов видишь? Вот поэтому я сразу посылаю. Потому что проще дурака сразу послать, и не тратить время на попытки объяснить. Потому что все равно не поймет. И все твои розовые теории про "редактирование" и "улучшение" в реальности разбиваются об эту тупость помноженную на самомнение. Тут напалмом надо жечь, а не политес разводить "Ах разрешите, я помарочку в вашем ответе удалю!"

[Максим Гаврилов]

Со слепыми тролями диалог вести не намерен.

[Максим Гаврилов]

Работать будет если все сделать грамотно!

[Максим Каракулов]

FanatPHP: невозможно все проблемы решить одним инструментом. Если ответ в корне неверен, то лучше написать об этом в комментарии, а не жаловаться и не править его. А еще лучше дать рядом свой, уже правильный ответ. Правильные и хорошие ответы должны вытягигиваться с помощью кнопки «Нравится» и «»Это решение». А всякий шлак, как вы это называете, должен тонуть под ними.

[FanatPHP]

Максим Каракулов: Я понял. В принципе, я и так знал что бесполезно, это была последняя попытка. Больше я вас беспокоить не буду. Просто предупрежу - потом вашей коменде будет стыдно за работу над этим проектом. Тостер будет употребляться как синоним непрофессионализма и ламерства. "Ответил как на тостере", "ты бы еще на тостере спросил" - вот это вот всё.

[Максим Гаврилов]

FanatPHP: не умеешь правильно расставить 700 поставь 555.

[FanatPHP]

ахаха, долго же ты скрипел извилинами :) правда, понять принцип работы веб-сервера так и ниасилил. Ты своим мизерным умишком так и не понял, что пользователь, который обращается к файлу - всегда один. Один и тот же. То есть с помощью механизма разделения прав невозможно решить данную задачу. Любые махинации в чмодами приведут только к двум результатам - либо все файлы будут недоступны, либо все будут открыты. Твоя проблема в том, что ты сейчас разговариваешь на теоретическую для тебя тему. У тебя есть ккакие-то фантазии в головке, но на практике ты с такой задачей никогда не сталкивался. И в итоге выдаешь бессмыселнные фразы типа "чмод 700!", "чмод 555!" - то есть, по факту ведешь себя даже тупее спамбота.

[Максим Гаврилов]

FanatPHP: мне некогда с тобой дискутировать. Надеюсь придет время и ты разберешься с правами и правилами файловой системы после чего тебе все станет ясно-понятно в этих вопросах.

[FanatPHP]

я с тобой не дискутирую, дурачок :) Я тебя носом в твои какашки тычу, несмышленыша

[Максим Гаврилов]

FanatPHP: Уродец, танцуй вальсом.

[FanatPHP]

Воооот. Такой стиль тебе больше идет. Впредь только так и разговаривай. А не технические темы рассуждать не берись

[Максим Гаврилов]

Мне все и больше нравится тостер :). FanatPHP, я перестал реагировать на твои замечания. Пиши что хочешь.

Answer 5

[Oleg]

Если перифразировать вопрос так : как дать возможность открывать файл только с помощью аякса , но не давать по прямой ссылке то ответ прост:
Проверяй что это аякс запрос и если это не он то выходите.

Пример проверки:

if(!empty($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') {
	// аякс
}else{ 
// не аякс
}

Конечно это не защита от хакеров и тп. Только защита от прямого открытия в браузеру

Такой заголовок может добавить кто угодно.