Проблема следующая
Со страницы сайта с помощью AJAX запроса вызывается скрипт execute_query.php который выполняет sql запрос в базу данных.
Скрипту передается параметр query - который содержит запрос к базе данных.
Можно ли достоверно убедиться что AJAX запрос пришел от внутреннего скрипта сайта, а не от стороннего скрипта?
Для простоты понимания проблемы
Если AJAX запрос с методом GET то зарегистрированному пользователю для выполнения своего собственного запроса достаточно лишь виполнить следующий HTTP запрос http://www[dot]site/inner_path/execu[dot][dot].php?query=запрос пользователя.
Если запрос с методом POST то надо написать простенький HTML документ в котором будет послан AJAX запрос.
Единственное что этому припятствует это знание структуры базы данных.
1. shurik_7866 - 14 Января, 2016 - 10:15:23 - перейти к сообщению
2. DelphinPRO - 14 Января, 2016 - 11:13:56 - перейти к сообщению
прямо вот так запрос и приходит? зачем? почему не отдельные параметры?
(Добавление)
по сабжу - проверить достоверно нельзя. любой запрос можно подделать.
(Добавление)
по сабжу - проверить достоверно нельзя. любой запрос можно подделать.
3. Faraon-san - 14 Января, 2016 - 11:31:15 - перейти к сообщению
можешь проверять на заголовок
но как и говорил DelphinPRO подделать можно любой запрос, можно максимально усложнить это, но все равно смогут подделать.