Discussion :

[getz85]

Bonjour!

j'ai un peu cherché sans rien trouver de concret, ce qui m'étonne un peu...
Bon avant tout, j'ai pas un niveau énorme en développement web, je fais ça pour le plaisir!

Bref, ma situation :

j'ai un script php utilisé seulement par une fonction jquery qui permet d'insérer quelque chose dans ma bdd. Tout marche bien, mais le problème, c'est que n'importe quel utilisateur peut appeler le script php via le navigateur, et ainsi, en passant les bons paramètres, insérer des données...

Y'a-t-il un moyen pour que ce script php ne soit accessible que par la fonction jquery en question, et par aucun autre moyen?

Merci d'avance!

[devyan]

Bonjour,

Ce n'est pas le bon forum à mon avis puisque tu parles de PHP

La réponse à cette question m'intéressant toutefois, j'ai posé la question à mon ami et ai trouvé cette information :

Lors d'un appel AJAX, la requête http est faite en XML et on peut trouver cette information dans le header

En PHP, il suffit de vérifier que $_SERVER['HTTP_X_REQUESTED_WITH'] contient "XMLHttpRequest".


devyan.

[Bovino]

Je ne pense pas qu'il soit vraiment possible d'empêcher complètement l'accès à la page.
Cependant, vérifier les en-têtes HTTP est une solution pour rendre cela plus difficile.
Comme l'indique devyan, tu peux vérifier l'en-tête x-requested-with, d'autant que jQuery alimente il me semble cet en-tête.
Mais je pense que faire un contrôle de l'en-tête referrer peut être plus judicieux, parce qu'en fonction du serveur, elle est habituellement read-only.

[Eric2a]

Salut,

À voir peut-être aussi du côté des sessions.

Ta page appellant le script créé une variable de session, et ton script teste sa présence afin de traiter ou non tes données.

[Bovino]

@Eric2a : non, dans la mesure où une variable de session est transmise en priorité sous forme de cookie, elle est envoyée quelle que soit la façon d'accéder à la page.

[getz85]

Merci pour vos réponses.

J'ai appliqué la méthode de devyan, et ça fonctionne parfaitement. JQuery alimente bien l'en-tête.

Encore merci!

[Invité]

non, dans la mesure où une variable de session est transmise en priorité sous forme de cookie, elle est envoyée quelle que soit la façon d'accéder à la page.

Oui et non, seul l'ID de session est dans un cookies.
les variables sont dans le serveur ./xxxx/mmm/hjkdhkjsqkjhqdsqkjdqhqkjqh.txt
"hjkdhkjsqkjhqdsqkjdqhqkjqh" étant l'ID de session.

simplement cela complique la tache du hackeur, et je penses comme toi que c'est insiffisant, en effet je vais sur la vrais page d'appel, ma valeur est donc validée, puis j'y retourne par un autre moyen

Alors pour étre imbattable,
Ma page d'appel charge la valeur session
La page PHP appelée pr javascript, contrôle PUIS détruit la valeur !

Autre point, les bon AJAX utilisent de préférence POST mais bon je sais que POST est vulnérable également ...