Cita:
Iniciado por GatorV 
En efecto para lo que quieres hacer necesitas implementar algo así un WebService donde tú solo conozcas la URL y desde tus scripts frontend hagas el consumo del backend así proteges un poco más tu sistema.
Sigue siendo "seguridad" por oscuridad, da la falsa impresión de seguridad.
Ponte en los zapatos de un atacante, realmente importa si conoce la dirección absoluta a la página?
El punto no es ocultar a que programa se envía la información, sino como ese programa manipula la información recibida.
Y para el ejemplo del compañero, no hay necesidad de un web service per se, ni de OAuth.
que haga un script gateway.php y lo embeba en un <iframe>
gateway.php sanitiza los datos y los envia a traves de CURL a otro script que se encarga de la autorizacion/autentificacion de usuarios:
gateway.php:
Código PHP:
<?php
$url = 'http://dominio.com/scriptOculto.php';
foreach($_POST as $key=>$value) {
$camposPOST .= $key.'='.$urlencode(value).'&';
}
rtrim($camposPOST, '&');
//iniciar CURL
$ch = curl_init();
// Iniciar la direccion en CURL, definir los datos a enviar
curl_setopt($ch,CURLOPT_URL, $url);
curl_setopt($ch,CURLOPT_POST, count($_POST));
curl_setopt($ch,CURLOPT_POSTFIELDS, $campostPOST);
//Enviar el request
$resultado = curl_exec($ch);
//cerrar la conexion
if($resultado) {
// redireccionar a sistema autorizado, inicializar la sesion, etc, etc..
} else {
// mostrar error de porque no se autentifica
}
?>
Y en tu script oculto haces la consulta a la base de datos y todo eso y que regrese verdadero o falso para saber si se encontro el registro.