Подскажите, пожалуйста.
У меня в скрипте одна точка входа. Все запросы в htaccess перенаправляются на файл index.php
1.Нужно-ли защищать файлы скрипта от прямого доступа?
2.Достаточно-ли для ajax файлов проверки запроса (помимо проверки данных)
if(!isset($_SERVER['HTTP_X_REQUESTED_WITH']) || empty($_SERVER['HTTP_X_REQUESTED_WITH']) || strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) != 'xmlhttprequest')
{
exit();
}
1. veltony - 20 Апреля, 2020 - 15:00:11 - перейти к сообщению
2. LIME - 20 Апреля, 2020 - 16:25:45 - перейти к сообщению
1. Обязательно, иначе устанешь предусматривать все возможные варианты злоэффекта от прямого доступа и гарантировано допустишь уязвимость рано или поздно. Лучше и надежнее всего, чтобы все файлы, к которым не должно быть прямого доступа были вне DOCUMENT ROOT.
То есть пусть будет папка public в которой будет только index.php и статика и она пусть и будет DOCUMENT ROOT. Остальное лежит вне и подключается.
2. А вот проверять ajax что он ajax я не вижу смысла вообще. Только мешать будет при разработке.
То есть пусть будет папка public в которой будет только index.php и статика и она пусть и будет DOCUMENT ROOT. Остальное лежит вне и подключается.
2. А вот проверять ajax что он ajax я не вижу смысла вообще. Только мешать будет при разработке.