如何防止“手动执行”外部 PHP 脚本

Question

简而言之，我在整个客户网站上使用外部 PHP 脚本来实现各种目的，例如获取搜索结果、更新内容等。

我将这些脚本保存在一个目录中：

www.domain.com/scripts/scriptname01.php
www.domain.com/scripts/scriptname02.php
www.domain.com/scripts/scriptname03.php

等等。

我通常使用 jQuery AJAX 调用来执行它们。

我想做的是找到一段代码，它将（从内部）检测这些脚本是通过 AJAX 从文件中执行还是由用户通过 URL 手动执行。

这可能吗？

我已经到处搜索并尝试了各种方法来处理 $_SERVER[] 数组，但仍然没有成功。

Answer 1

我想要做的是找到一段代码，它将（从内部）检测这些脚本是否由用户通过 AJAX 从文件中执行或通过 URL 手动执行。

这可能吗？

不，不是 100% 可靠。您无法阻止客户端模拟 Ajax 调用。

不过，您可以测试一些标头，即 X-Requested-With。它们会阻止不熟练的用户直接调用您的 Ajax URL。请参阅检测 Ajax 调用 URL

Answer 2

大多数 AJAX 框架都会发送 X-Requested-With: 标头。假设您在 Apache 上运行，您可以使用 apache_request_headers() 函数来检索标头并检查/解析它。

即便如此，也没有什么可以阻止某人手动设置此标头 - 没有真正的 100% 万无一失的方法来检测此问题，但检查此标头可能是您所能得到的最接近的结果。

根据您需要保护的内容和原因，您可能会考虑需要某种形式的身份验证，和/或使用唯一的哈希/PHP 会话，但这仍然可以由任何了解一点 Javascript 的人进行逆向工程。

作为您可以验证的事情的一个想法，如果您在为您请求提供服务之前验证所有这些内容，它将提供一定程度的确定性（尽管不是很多，如果有人故意试图破坏您的系统，则没有）：

• 在会话中存储唯一的哈希值值，并要求通过 AJAX 调用（在 cookie 或请求参数中）将其发送回给您，以便可以在服务器端比较它们以验证它们是否匹配
• 检查 X-Requested-With: header 已设置，值为明智的
• 检查 User-Agent: 标头是否与启动会话的标头相同。

检查的内容越多，攻击者就越有可能在得到正确答案之前感到无聊并放弃。同样，服务每个请求所需的时间越长/更多的系统资源......

Answer 3

如果用户知道您的请求地址，则没有 100% 可靠的方法可以阻止他调用您的脚本。

这就是为什么您必须验证对脚本的每个请求。如果您的脚本仅由经过身份验证的用户调用，请在脚本中再次检查身份验证。像对待传入的用户输入一样对待它 - 验证和清理所有内容。

编辑时：对于用户可以通过 URL 访问的任何脚本都可以这样说。例如，考虑 profile.php?userid=3