Forum d'entraide PHPFrance

Bonjour,

Afin de sauvegarder des infos sans recharger, j'utilise AJAX, qui fonctionne impecc au regard de mes besoins.
Toutefois, en éditant le code source, on peut lire en direct dans les balises <script> le fichier PHP qui est appelé avec les variables nécessaires.

<script type="text/javascript">
function maj_titre_info(valeur,id_is,action) 
{
	[....]
	xhr.open("GET","./ajax/infos_ajax.php?valeur=" + valeur + "&id_is=" + id_is + "&action=" + action,false);
	xhr.send(null);
}
</script>

Bien sûr, en accédant au fichier PHP en direct via l'URL visible, je fais des vérifications qui empêchent d'utiliser le fichier, mais je me demandais de savoir s'il existait un moyen d'encapsuler les scripts dans un fichier non éditable ?

En vous remerciant de l'aide toujours apportée !

Stéphane

Bonjour,

Alors si c'est pour masquer l'appel à ton script PHP non ce n'est pas possible.
En revanche pour limiter les utilisations malveillantes tu peux :
1) utiliser la méthode POST et non pas GET, ce qui empèche un utilisateur lambda d'accéder à ce script juste en tapant l'url
2) mettre en place un système de token que tu passerait en paramètre et qui ne serait valable qu'un certains temps (en encodant un timestamp de l'appel à ta page principal, puis dans le script PHP en décodant ce timestamp et en regardant si moins de X minutes se sont écoulées pour la considérer comme valide)