Как разрешить доступ к php файлу только из js?

Question

[Анастасия]

Здравствуйте. Я отправляю через ajax formdata на php файл, который их обрабатывает.
Я вообще ничего не знаю про безопасность, но у меня есть ощущение, что нужно как-то обезопасить мой php файл, так как он имеет доступ к БД. Поэтому хочется сделать какую-нибудь проверку при обращении к файлу

if(FROM_JS) {
// обработка данных
} else { // если запрос пришел от пользователя
echo "УХАДИ";
}

Как такое реализовать?

Comments

[Дмитрий]

Скрыть код жс не получиться, следовательно и повторить запрос с защитой можно. Можно попробовать cors

[Дмитрий]

https://learn.javascript.ru/csrf

[posters]

через апач (.htaccess) или nginx можно сделать так, чтобы код php файла с параметрами подключения к БД не было видно юзеру, обратившемуся к нему напрямую через адресную строку браузера.

[FanatPHP]

Для веб-сервера нет никакой разницы, откуда пришел запрос.
И поэтому "как мне разрешить только от жс" - это очередной дурацкий вопрос от неграмотности.
Закрыть файл можно только от любых запросов вообще.

поэтому надо просто писать безопасный код. в любых скриптах, а не только тех, к которым обращается яваскрипт. при этом никакая особенная защита для скриптов, к которым обращаются из яваскрипта, не требуется.

И я очень надеюсь что мне не придется потратить еще два часа своей жизни, чтобы донести эту простую мысль через твой синдром собственной гениальности. "я про безопасность (шаблоны, работу с БД, авторизацию) на знаю вообще ничего, но знаю лучше всех, как правильно!"

[FanatPHP]

posters, откуда вы беретесь такие, а?
ты сначала попробуй посмотреть "код php файла с параметрами подключения к БД, обратившись к нему напрямую через адресную строку браузера", без всяких "защит через htaccess".
а потом расскажи нам, много ли кода ты там увидел

[posters]

FanatPHP, ну да, нужно, чтобы php интерпретатор перестал работать. Полуфантастическая ситуация. Затупил.

Answer 1

[Илья]

CSRF ну и как минимум валидация данных ПЕРЕД тем как отправлять их в базу (это всегда так должно быть, неважно AJAX не AJAX запрос). Ну и про экранирование при работе с БД хорошо бы не забыть.

Comments

[FanatPHP]

на самом деле всё наоборот.
"всегда должно быть" подготовленные выражения при работе с БД
а вот "валидация" - как раз "хорошо бы", но для безопасности не принципиально.
а про слово "экранирование" надо забыть. потому что ни ты, ни автор вопроса, ни тыщи других хомячков не понимают, что оно значит

[Илья]

FanatPHP, ааа зачем я опять не слежу за словами и смыслами, я уже забыл что ты существуешь :( Когда тебя автобус собьёт уже?)

[FanatPHP]

ну так может лучше следить за словами? и тогда сможешь с чистой совестью забыть о почем существовании? :)))

Answer 2

[Надим]

Вы можете использовать куки, чтобы подтвердить подлинность запроса. Когда пользователь авторизуется на вашем сайте, выдаете ему уникальную куку, при приёме формы проверяйте наличие уникальной куки и его правильность.

Если ваша форма отправляется без авторизации, то тогда вместо кук можете использовать токены. Например, когда пользователь выполняет какие-то действия на сайте (скролит страницу, кликает поля формы или еще что-нибудь), то по факту выполнения этих действий выдаете уникальный одноразовый токен. Соответственно, далее при отправке формы передаёте это токен вместе с формой и проверяйте на стороне сервера.

Comments

[AUser0]

Неа, невзлетит.

В том смысле, что злонамеренный пользователь запросто возьмёт готовую куку из браузера/JS, и продолжит дальше уже без всяких ограничений в JS-коде. Любые запросы, с любыми данными, в любых объёмах.
Защитит от этого кука, ага?

[Надим]

AUser0, я знаю что не взлетит, так как я сам занимаюсь тем, что пишу парсеры, которые пробивают все эти защиты))) Но это защитит от автоматических ботов. Если целевым сайтом займется человек, он разумеется напишет решение конкретно под этот сайт и здесь уже ничего не поможет, но вот в случае обычных ботов, которых никто не затачивал под ваш сайт - такая защита сильно поможет.

[AUser0]

Надим Закиров, тогда уж не куки использовать, а через JS добавлять к запросам "секретный" аргумент. Конечно от парсеров с JS это не спасёт, но всё таки сложнее, чем элементарные куки, поддерживаемые на самом низовом уровне работы.

[FanatPHP]

наш "песатель парсираф" (получает заказ и бежит на тостер спрашивать, как его сделать) решил показать свои знания
и снова обделался

[Надим]

AUser0, я про секретный аргумент и говорю. Просто для надежности аргумент нужно генерировать по факту активности пользователя. Как именно генерировать, это уже частности.

[FanatPHP]

AUser0, всё это хорошо, только осталось понять, зачем это автору вопроса