IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

protéger mes méthodes dédiées ajax


Sujet :

Langage PHP

  1. #1
    Membre actif Avatar de grinder59
    Inscrit en
    Septembre 2005
    Messages
    707
    Détails du profil
    Informations forums :
    Inscription : Septembre 2005
    Messages : 707
    Points : 215
    Points
    215
    Par défaut protéger mes méthodes dédiées ajax
    Bonjour,

    je développe une application en MVC dans laquelle j'ai des appels ajax. Je me pose la question suivante, comment faire pour que les méthodes dédiées aux appels ajax ne soient pas utilisable directement...

    Par exemple, l'action getelementAction de rechercheController fait une recherche d'éléments dans une table de la BD. C'est un objet xhr du script JS qui appelle l'url : http://mondomaine.com/recherche/getelement

    Par contre, cette action ne renvoie que des données brutes puisque l'affichage se fait au travers du JS qui traite le retour de la requête. Du coup, n'importe quel utilisateur peut appeler cette même url dans un navigateur et se retrouver avec une page non formatée. Comment éviter cela ?

    Merci de vos conseils !

  2. #2
    Rédacteur

    Avatar de Bovino
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juin 2008
    Messages
    23 647
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 53
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2008
    Messages : 23 647
    Points : 91 418
    Points
    91 418
    Billets dans le blog
    20
    Par défaut
    La solution "classique" est d'utiliser des en-têtes X-Requested-With pour distinguer les demandes AJAX des autres.
    Néanmoins, c'est comme vouloir empêcher de récupérer les images d'un site : quelqu'un qui s'y connait un minimum saura recréer la requête et appeler ton script.
    D'autant que s'il a les connaissances suffisantes pour savoir quelle URL est appelée, alors il saura facilement contourner la limitation. Quant à ceux qui ne savent pas contourner cette limitations, il y a peu de chances pour qu'ils sachent ce qu'est AJAX et donc qu'une requête AJAX a été envoyée, bref, c'est pas eux qui te poseront problème.

    Donc, comme toujours avec ce type de demande, la bonne question à se poser, c'est surtout pourquoi tu veux t'embêter avec ça...
    Pas de question technique par MP !
    Tout le monde peut participer à developpez.com, vous avez une idée, contactez-moi !
    Mes formations video2brain : La formation complète sur JavaScriptJavaScript et le DOM par la pratiquePHP 5 et MySQL : les fondamentaux
    Mon livre sur jQuery
    Module Firefox / Chrome d'intégration de JSFiddle et CodePen sur le forum

  3. #3
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    Août 2003
    Messages
    6 690
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2003
    Messages : 6 690
    Points : 20 211
    Points
    20 211
    Par défaut
    Tu peux faire quelque chose comme ça :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    function isXmlHttpRequest()
    {
    	$xhttp = $_SERVER['HTTP_X_REQUESTED_WITH'];
    	if(!empty($xhttp) && strtolower($xhttp) == 'xmlhttprequest') {
    		return true;
    	}
     
    	return false;
    }
    Mais comme le précise Bovino, ca n'as pas grande utilité si c'est pour te protéger des utilisateur. Ca peut avoir de l'intérêt en revanche pour indiquer aux autres développeurs qu'ils doivent utiliser une requête ajax et non pas une requête classique.
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

Discussions similaires

  1. [Sécurité]Protéger mes tables
    Par manoudjib dans le forum Sécurité
    Réponses: 2
    Dernier message: 25/04/2007, 08h20
  2. [AJAX] Méthode sous Ajax qui ne fonctionne qu'une fois?
    Par patrice419 dans le forum Général JavaScript
    Réponses: 2
    Dernier message: 13/04/2007, 14h19
  3. Un de mes nouveaux sites AJAX en perspective
    Par arnolem dans le forum Mon site
    Réponses: 19
    Dernier message: 20/09/2006, 10h11
  4. [JNI] Java ne trouve pas mes méthodes natives
    Par carotte31 dans le forum Entrée/Sortie
    Réponses: 5
    Dernier message: 14/06/2006, 22h47
  5. Protéger mes images
    Par Franck2mars dans le forum Webdesign & Ergonomie
    Réponses: 16
    Dernier message: 27/06/2005, 12h51

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo