Насколько безопасно так делать?

Question

[TMLEX]

Всем добрый день, хотел бы узнать насколько я правильно всё делаю..
Например есть у меня добавление статьи на сайте через ajax, когда юзер нажимает кнопку js берет и вызывает какой-то файл, например, file.php. В этом файле, т.к. он в принципе мне и нужен только для аякса ничего не подгружается в соответствии с роутингом, поэтому я в этом файле достаю конфиг, создаю экземпляр класса БД, и делаю запросы. Так вот в чем суть вопроса: верно ли я думаю, что обратиться к этому файлу и выполнить запрос можно только с моего домена? Или если юзер возьмет и отправит со своего сайта запрос на этот файл с такими же пост данными, он тоже выполниться?
Как можно обезопасить файлы обрабатывающие аякс на сервере?

Comments

[sim3x]

В чем проблема взять МВЦ фреймворк и больше никогда не думать о флоу?

[TMLEX]

sim3x: хочется разобраться самому.

[sim3x]

TMLEX:
В нормальном случае - пройдя через роутер и форму запрос будет очищен
А запрос будет проведен через ОРМ

В таком случае - проблем не будет

В случае самописного решения от новичка - будут проблемы/уязвимости на каждом из етапов

Answer 1

[Максим Тимофеев]

А кто Вам сказал, что нельзя сделать запрос прямо с Вашего сайта, подменить форму и т.д. Надо закрывать все дыры, запрет на кроссдоменные запросы Вас не спасет.