Seguridad en Zend Framework y Ajax

gabyrsh · #1 (**permalink**) 21/08/2008, 03:13

hola chicos, tengo la siguiente duda, estoy implementando un ejemplo sencillo de ajax en Zend. Utilizando Json y prototype como framework de ajax. Mi duda es la siguiente,
Se puede implementar algun tipo de seguridad, para que nadie acceda a mi paginaajax.php directamente desde la url?.

Es decir, que solo acepte acceder, cuando mi script de javascript necesite tomar informacion que devuelve mi archivo paginaajax.php (en zend la url es distinta).

Estoy buscando informacion, pero no puedo encontrarla.

Me podrian dar una mano?

nx00 · #2 (**permalink**) 21/08/2008, 04:57

quizas una chapuza pero...

podrias intentar lo siguiente:

Supongo que paginaajax.php es la página que devuelve los datos.

Sabiendo esto supongamos estas 2 páginas.

pagina.php realiza una llamada a paginaajax.php

y

pagina.php muestra los datos devueltos por paginaajax.php

---- seguridad ----
pagina.php al ser cargada crea una variable de sesión.

Ej: $_SESSION["nx00"] = "ok";

despues se realiza la llamada a paginaajax.php

En paginaajax.php se comprueba que existe $_SESSION["nx00"] y que vale "ok".
Se devuelven los datos.

pagina.php muestra los datos recibidos y borra $_SESSION["nx00"];

-----
Entonces si alguien indica la url completa hacia paginaajax.php esta no devuelve nada porque no existe $_SESSION["nx00"].

Podria valerte esto ?

GatorV · #3 (**permalink**) 21/08/2008, 08:10

O en dado caso lo mejor sería implementar bien tu seguridad con Zend_Acl y Zend_Session, así si alguien intenta entrar directamente y no esta loggueado no podría obtener la respuesta correcta.

enriqueplace · #4 (**permalink**) 21/08/2008, 08:57

Cita:

Iniciado por gabyrsh

hola chicos, tengo la siguiente duda, estoy implementando un ejemplo sencillo de ajax en Zend. Utilizando Json y prototype como framework de ajax. Mi duda es la siguiente,
Se puede implementar algun tipo de seguridad, para que nadie acceda a mi paginaajax.php directamente desde la url?.

Mmmm.. no sé si se puede evitar el acceso directo, ya que a través de Ajax haces eso desde diversos navegadores y ubicaciones...

Lo que deberías es reforzar la seguridad interna, validar información de un lado y de otro, si hay autenticación de usuario, etc.

Lo que sí puedes, y no es que sea más seguro, pero hacer comunicación por POST y no por GET, y cuando hacen GET (navegan la url) no les respondas nada.

PD: aunque alguien con más tiempo se puede poner a hacer un scripts que apunte a esa url y le pase datos por POST, pero el punto es que la información que manejes será publica siempre, solo debería preocuparte si hay necesidad de autenticación y que los datos sean privados, pero creo que eso lo debes hacer a nivel de aplicación.

GatorV · #5 (**permalink**) 21/08/2008, 09:16

Por cierto este tema no tiene nada de POO.

Tema trasladado a PHP General.

gabyrsh · #6 (**permalink**) 21/08/2008, 10:31

Claro, en mi ejemplo, quiero aplicar seguridad en ajax, pero para cualquier visitante
(sin autenticacion).
Me parece que la mejor manera es la que dice nx00, no? yo también la habia pensado.

Pero nose, qué piensan?