Здравствуйте господа! Сразу по сабжу! Есть приложение для вконтакте использующее плагин vk api, для получения некоторых данных (id, имя). Также есть база, куда все эти данные от времени загружаются. через ajax запрос движка C2 к php скрипту на сервере, а тот уже работает с mysql. Аккаунты пользователей привязаны к ID Вконтакте, их данные и.т.д. И вот сама проблема, если кто либо узнает путь до скрипта, то создав копию приложения и заменив значение переменных на id любого пользователя, сможет делать запросы от их имени (id вконтакте). Мне нужно решить эту проблему. Я думал, может как-то запретить работу со скриптом с внешних источников? Дело в том, что само приложение и скрипт находится на одном домене/сервере (приложение в корневой директории, а скрипт в папке). Сразу скажу, что я далёк от программирования, хотя стремлюсь к этому как могу, но сейчас появилась нужда в создании таких запросов и работы с php. Помогите, кто знает! Спасибо за внимание и заранее спасибо!
Если вы делаете запросы через ajax, это уже означает, что они выполняются с компьютера пользователя. Можете запретить выполнение с любых адресов, кроме сервера, но и сайт работать перестанет. Хотите защититься - добавьте какие-нибудь ключи или токены.
Плюс по хорошему, перед выполнением запроса к API с вашего сервера проверяйте, что человек авторизован в ВК и запрос будет для него
если хостинг адекватный, то php-файл априори будет недоступен всем, кроме владельца файла. В данном случае владелец файла - сервер. Проверять правильность выставления прав и будет вам счастье.
.htaccess и все такое...
какие нафиг ключи??)) ключи для другого.
Мне кажется, если бы я знал как присобачить её к Construct2, я бы не задавал такие вопросы. Мне уже писали много раз про auth_key. Однако, мне кажется для этого нужно дописывать плагин. Мне бы более безболезненный вариант, ну или хотя бы урок. Но о такой теме даже на самом форуме движка не обсуждается.
Анатолий Медведев, придется. Просто мы бы не выбирали данный движок, если бы пришлось нанимать специалиста еще и по работе с кодом. Скорее всего, если у нас не получится зашифровать данные, то перейдем на другую среду разработки (данная того не стоит) и там уже воззовем специалиста на помощь.
