Proteger .php cargado con Ajax

metacortex · #1 (**permalink**) 30/03/2010, 18:58

Estoy haciendo un select que carga un formulario distinto según la opción. Estos formularios se encuentran en un archivo externo bajo un switch y me los traigo con $_GET:

Código HTML:

http://sitio.com/externo.php?opcion=perros

http://sitio.com/externo.php?opcion=gatos

Todo funciona bien, excepto que esa página externa me deja los campos al descubierto cuando se accesa de forma directa. Es decir, externo.php no muestra nada, pero externo.php?opcion=perros sí muestra todo el html ¿Cómo hago para proteger un contenido bajo condiciones como esas?.

abimaelrc · #2 (**permalink**) 30/03/2010, 19:02

Puedes verificar si la persona escribió directamente en el navegador usando $_SERVER["PHP_SELF"] o usando htaccess para que evitar que vean ese archivo.

metacortex · #3 (**permalink**) 30/03/2010, 19:08

Gracias abimaelrc, en este momento estoy desarrollándolo en local y descubrí que puede accesarse de esa forma.

No está mal la idea del htaccess, no se me había ocurrido. A ver cómo me va por esa vía; ojalá no afecte la llamada que hace el ajax, ya que la protección vía php (define > defined) también inutiliza al ajax (hasta ahora).

abimaelrc · #4 (**permalink**) 30/03/2010, 19:11

No afecta si le indicas en el htaccess que toda dirección que no sea el dominio en que estoy no acceda directamente.

abimaelrc · #5 (**permalink**) 30/03/2010, 19:18

Mira este ejemplo para que tengas una idea

Código Apache:

Ver original# % -> esto es para evitar el error que produce el highlight con el porciento, esta línea la pueden quitar.
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://localhost.*$ [NC]
RewriteRule .*\.(css|js)$ http://localhost/b.php [R,NC]

metacortex · #6 (**permalink**) 30/03/2010, 19:26

Te agradezco la ayuda abimaelrc, probaré de esa forma.

Saludos.

metacortex · #7 (**permalink**) 04/04/2010, 07:22

Al final lo logré con php. El código va en el archivo llamado por ajax. Entre otras acciones metí el echo como parte del if y eso hizo que el contenido se ocultara cuando es accesado directamente:

Código PHP:

Ver original$var = null;
if(empty($_GET['opcion'])) {
  $var ='';
  die ('Aquí no hay nada');
} else {
  if(isset($_POST['ttp_target'])) {
    $id = $_GET['opcion'];
    switch ($id) {
      case 'text':
        $var .= 'hola';
      break;
      case 'img':
        $var .= 'que tal';
      break;
      case 'link':
        $var .= 'hey';
      break;
    }
    echo $var;
  }
}

pateketrueke · #8 (**permalink**) 04/04/2010, 08:45

también, en todo caso puedes comprobar si la petición esta hecha con Ajax...

Código PHP:

  if ( ! empty($_SERVER['HTTP_X_REQUESTED_WITH']))

{

    if ($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest') // ...

}

abimaelrc · #9 (**permalink**) 04/04/2010, 11:04

Es verdad que logras gran parte de evitar que te verifiquen lo que tienes en esa página, verificando si se recibe el dato con $_POST. Pero yo puedo aún enviar datos y verificar lo que tienes usando cURL o algún socket, es más hasta creando un formulario via post y enviando los datos que tienes declarados puedo ver lo que tienes. Creo que si unes lo que te indicó pateketrueke y el htaccess, evitas si no todas la mayoria de las veces que la persona vea lo que tienes en esa página.

metacortex · #10 (**permalink**) 04/04/2010, 12:15

Pateketrueke, gracias por el dato.

Cita:

Iniciado por abimaelrc

Es verdad que logras gran parte de evitar que te verifiquen lo que tienes en esa página, verificando si se recibe el dato con $_POST. Pero yo puedo aún enviar datos y verificar lo que tienes usando cURL o algún socket, es más hasta creando un formulario via post y enviando los datos que tienes declarados puedo ver lo que tienes.

Bueno, el sistema en el cual lo tengo implementado cuenta con varias formas de validación (incluyendo nonce fields y chequeo de referers). Si bien no garantiza al 100% la seguridad, al menos creo que impide un ataque por la vía que mencionas.

http://codex.wordpress.org/Function_...wp_nonce_field