Evitar acceso a algo.php

  • Autor Autor Bakor
  • Fecha de inicio Fecha de inicio
Bakor

Bakor

Delta
Verificación en dos pasos activada
Verificado por Whatsapp
buen dia!

Tengo una consulta la cual no he podido resolver, tengo una api.php la cual se conecta a una app de android para mostrar imagenes y texto en la app, pero el problema es que si las personas pone miweb.com/api.php puede obtener la información que tengo ahí y no quiero eso me gustaría restringir el acceso para cualquier persona pero no se como hacerlo ya que si lo hago con dirección en el .htaccess mi app tampoco podrá tomar la información que necesita para mostrarla, alguien me podría decir si es posible realizar lo que comento.
 
Verficas si:

PHP: 
// https://miweb.com/api.php?apikey=efhe9fh98948954

if ($_GET['apikey'] != 'efhe9fh98948954') {
    die();
}

De nada. Espero tu humilde donación jaja.
 
Última edición:
La solución que propone [MENTION=160416]cosme[/MENTION] es bastante sencilla y para tu caso también útil. Sin embargo, si quisieras algo más sofisticado podrías utilizar algo tipo el protocolo OAuth2 (el que usa Google, FB, TWT, etc.) y así tu información estaría más protegida.
 
cosme dijo:
Verficas si:

PHP: 
// https://miweb.com/api.php?apikey=efhe9fh98948954

if ($_GET['apikey'] != 'efhe9fh98948954') {
    die();
}

De nada. Espero tu humilde donación jaja.
Hacer clic para expandir...

muchas gracias por tu ayuda, acabo de poner el codigo que me brindaste pero aun asi lo muestra 🙁
 
Pero los usuarios no conocen tu api key. Copia el codigo al inicio de todo.
 
cosme dijo:
Pero los usuarios no conocen tu api key. Copia el codigo al inicio de todo.
Hacer clic para expandir...

Si ya vi era el cache :ambivalence: y si funciona el problema es que la app en donde se deben de mostrar los datos de la api.php no los muestra sale en blanco y yo quiero que en la app si se muestren.
 
Bakor dijo:
Si ya vi era el cache :ambivalence: y si funciona el problema es que la app en donde se deben de mostrar los datos de la api.php no los muestra sale en blanco y yo quiero que en la app si se muestren.
Hacer clic para expandir...

Tienes que enviar el pedido desde la app con la key, después en PHP miras si la key es real y muestras lo que quieres, si no es pues no muestra nada

Saludos
 
Bakor dijo:
Si ya vi era el cache :ambivalence: y si funciona el problema es que la app en donde se deben de mostrar los datos de la api.php no los muestra sale en blanco y yo quiero que en la app si se muestren.
Hacer clic para expandir...


Has una pequeña modificación en el código para que puedas ver que está funcionando:

PHP: 
// https://miweb.com/api.php?apikey=efhe9fh98948954

if (!isset($_GET['apikey']) || $_GET['apikey'] != 'efhe9fh98948954') {
    die("Accesso denegado.");
}

Esa es la clave. Ahora ve a tu app. Donde has escrito la url de tu api modificala y agregale tu apikey.
Ej:

Insertar CODE, HTML o PHP: 
En algún lugar de tu app debe decir https://miweb.com/api.php
Debes cambiarlo por https://miweb.com/api.php?apikey=efhe9fh98948954
 
Podrías agregar código para que la página solo pueda ser vista por tu IP

Enviado desde mi Blade V6 Plus mediante Tapatalk
 
Rodolfo Reyes dijo:
Podrías agregar código para que la página solo pueda ser vista por tu IP

Enviado desde mi Blade V6 Plus mediante Tapatalk
Hacer clic para expandir...

Pero cada usuario de la App tiene su propia IP, asi que nadie podría acceder, solo el dueño de la app podría.
 
Otra podría ser que verificará la procedencia de la solicitud, que lo mande como post y que añada la key cifrada.

Así seguro no podrán 🙂
 
cosme dijo:
Has una pequeña modificación en el código para que puedas ver que está funcionando:

PHP: 
// https://miweb.com/api.php?apikey=efhe9fh98948954

if (!isset($_GET['apikey']) || $_GET['apikey'] != 'efhe9fh98948954') {
    die("Accesso denegado.");
}

Esa es la clave. Ahora ve a tu app. Donde has escrito la url de tu api modificala y agregale tu apikey.
Ej:

Insertar CODE, HTML o PHP: 
En algún lugar de tu app debe decir https://miweb.com/api.php
Debes cambiarlo por https://miweb.com/api.php?apikey=efhe9fh98948954
Hacer clic para expandir...

gracias por la ayuda funciono perfecto
 
Genial. Ahora las personas que sepan la url de tu api no van a poder entrar, pero alguien con un poco mas de habilidad podría ver que request esta haciendo tu api y obtener la apikey. Para evitar esto debes usar el famoso https. Que tampoco es 100% seguro. Otra forma sería guardar todos los accesos que se hacen a la api en un archivo .log para detectar actividades sospechosas.
 
Gracia!, es justo lo que buscaba, y lo encontré sin googlearlo XD hahahah
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

kahlito
Evitar mostrar algunos archivos y a la vez ciertos parámetros en la url con htacess
Respuestas
1
Visitas
416
kahlito
kahlito
E
¿Debo borrar mis videos para evitar perder acceso a la monetización?
Respuestas
4
Visitas
549
PercyAid
PercyAid
R
Cómo prohibir acceso a ciertas IP y evitar votos falsos
Respuestas
3
Visitas
424
PRO
P
F
Evitar acceso desde redes sociales con plugin o .htaccess
Respuestas
1
Visitas
206
Carlos Arreola
C
YoGeekOnline
Cómo evitar copias y posicionarse mejor en Google
Respuestas
16
Visitas
2K
goon
G
Atrás
Arriba