Является ли появление имен файлов PHP, используемых в AJAX, при просмотре исходного кода небезопасным или нет?

Question

Все имена PHP-файлов, которые мы используем для функций AJAX, появляются при нажатии «просмотреть исходный код». Это нормально или небезопасно? Если вы не уверены, как их исправить?

Answer 1

Это нормально - на самом деле они должны появляться, поскольку JS на стороне клиента.

Риск безопасности возникает при доступе к самому сценарию. Поэтому убедитесь, что, если вы обращаетесь непосредственно к рассматриваемому сценарию (поместив URL-адрес в адресную строку), он не будет уязвим.

Answer 2

Если вы позволите:

• люди получают данные из вашего приложения через HTTP или
• ввод данных в приложение по HTTP

тогда вам нужно предпринять шаги, чтобы гарантировать, что только авторизованные люди могут сделать это, и что данные должным образом очищены на сервере (например, экранированы перед использованием в запросе SQL).

Это относится к:

• URI, которые, как вы ожидаете, будут отправлять формы на
• URI, которые вы ожидаете JavaScript, которые вы передаете в браузер для отправки данных на
• Любой другой URI в вашей системе

URI - это URI, и любой может отправить ему любые данные. В URI, которые вы используете для Ajax, нет ничего особенного. Их нужно защищать так же, как и всю остальную систему.

Answer 3

Нет, предоставление расширения .php в вызове Ajax (или в любом другом URL) само по себе не является проблемой безопасности.

Answer 4

Это безопасно, но вы можете скрыть имена файлов с помощью htaccess, если хотите.