只允许通过本地服务器上的ajax访问PHP文件

Question

我有一个网站需要根据用户交互增加数据库中的值。当用户点击一个按钮时，会调用一个php脚本来增加该值。我想保护这个脚本不被外部脚本访问。目前，用户可以使用JavaScript函数编写他们自己的网页，该函数重复地点击相同的php文件以炸毁数据库中的值。

这里是我的jQuery代码，不会递增：

jQuery(function(){ 
$('.votebtn').click(function(e){ 
    var mynum = $(this).attr('id').substring(0,5); 
    $.ajax({ 
      url:"countvote.php", 
      type:"GET", 
      data: { 
       thenum:mynum 
      }, 
      cache: false, 
      success:function(data) { 
       alert('Success!'); 
       } 
      } 
     }); 
}); 
}); 

我怎么会去使它所以只有本地服务器上的从阿贾克斯/ jQuery的调用可以访问“countvote.php”？如果这不是正确的方法，我会接受任何建议，以防止我的php脚本被外部脚本滥用。

Answer 1

您可以检查$_SERVER['HTTP_X_REQUESTED_WITH']是否等于xmlhttprequest，但它不是一个可靠的方法来确定请求是否是AJAX请求，总是有办法解决这个问题。但它可以保护您免受随机匹配，如错误输入的网址，爬虫等。

Answer 2

这不是真正的100％这样做。 AJAX请求总是来自客户端。使用POST请求而不是GET，这将有助于阻止任何问题，但不能完全阻止它们，并在您的PHP中，只是放弃所有的请求。

Answer 3

该解决方案需要两个步骤。

首先，ajax文件必须只允许在此代码中的ajax请求中进行访问。

define('IS_AJAX', isset($_SERVER['HTTP_X_REQUESTED_WITH']) &&  strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest'); 
if(!IS_AJAX) {die('Restricted access');} 

其次，AJAX文件在文件与命令$ _ SERVER [“HTTP_REFERER”]叫它的名字访问。 因此，您只能在主机服务器中限制访问。

$pos = strpos($_SERVER['HTTP_REFERER'],getenv('HTTP_HOST')); 
if($pos===false) 
    die('Restricted access'); 

也许代码可以与第二部分只工作