페이지가 jQuery의 .load 함수로로드 될 때 PHP 보호하기

Question

내 인덱스 페이지 (index.php? profile = profilename_here)는 jQuery의 load() 함수를 사용하여 div에 컨텐츠를로드하고 정상적으로 작동합니다.

$().ready(function() { 
    $('#details').load('pages/sidebar/details.php?profile=<?PHP echo $profile;?>').fadeIn(2000); 
}); 

내 페이지/사이드 바/details.php에 MySQL 쿼리가 있습니다.

$result = mysql_query("SELECT * FROM public_profile WHERE username='$profile'") or die(mysql_error()); 

모든 PHP는 물건은 안전하고 내가해야 모든이 varibales 살균하고 ....하지만 누군가가 '페이지/사이드/details.php? 프로필 ='로 이동하여 프로필을 변경했다 경우 그들은 다른 사람들의 세부 사항을 불러올 것입니다.

페이지가 .load()에 의해로드되었는지 확인할 수 있으며 그렇지 않은 경우 페이지로드 또는 스크립트 실행을 중지 할 수 있습니까?

Answer 1

페이지가 아약스를 사용

if ($_SERVER['HTTP_X_REQUESTED_WITH'] === 'XMLHttpRequest') { 
    /* run this if requested by ajax */ 
} 

으로 요청되는 경우에만 코드를 실행하려면 불행하게도이하지 않습니다 훨씬 더 안전한 아무도에서 해당 URL을 변경 불을 지르고 같은 DEV-도구를 사용할 수 있기 때문에 코드. 현재 사용자가 자신의 프로파일을 보길 원하면 $profile을 $_SESSION에 저장하면 URL 매개 변수에 직접 액세스 할 수 없습니다.

데이터를 살균하는 몇 가지 방법에 대해서는 OWASP's SQL Injection Prevention Cheatsheet을 확인하십시오. PHP와 관련된 것은 아무것도 없다고 생각합니다.