jQuery AJAXに関するセキュリティ情報について混乱しています。私はCMS用のADD-ONを開発中です。 PHPファイルEXECUTE.PHP
のjQuery AJAX呼び出しがあります。 今、私は質問私のADD-ONを販売したいとここにいるでしょう:jQuery AJAX - 制限、セキュリティ、クロスドメインなし
- を私のADD-ONは、2人の顧客
A)John (nice guy), B)Bruce (the hacker)
を購入します。彼らはどちらも私のコーディングの構造、ファイルの場所、ファイルの内容を知っています - すべて。 BruceがAJAX呼び出しをJohnのサーバーのEXECUTE.PHP
ファイルに変更するとどうなりますか? Bruce氏は、CMSが普段はWWW.DOMAIN-NAME.COM/CMS
にインストールされていることを知っているので、Johnのサーバー上でEXECUTE.PHP
の場所を疑うことができます。これは可能ですか?EXECUTE.PHP
ファイルはDB内のエントリを削除することができるため、ブルースは"DELETE FROM ... WHERE ID = [1, 2, 3 ..]"
のようなループですべてのDBエントリを削除できますか?クロスドメインアクセスで可能ですか(Johnには独自のドメインがあり、Bruceには独自のドメインがあります)。私はそれを防ぐために何ができますか?他のリスクはありますか? - JohnのサーバーでBruceが
EXECUTE.PHP
を呼び出し、EXECUTE.PHP
ファイルが$_SERVER['REQUEST_URI']
で返されるアドレス - 返されるアドレス。それはAJAXの呼び出しがあるブルースのジョンのアドレスまたはアドレスになりますか?
ご協力いただきありがとうございます。
これは単なる議論のように答えることができない質問として閉じられる可能性が高いと思います。 SOはコード固有の質問の方が多くあります。 – Utkanos
明確に理解できるようにコードを追加する – Firefog