Come controllare chi sta eseguendo lo script

[Alarik]

salve a tutti,

ho il seguente problema:
ho implementato un'applicazione in flash che chiama uno script PHP per alcune operazioni.
Ho la necessità di controllare che lo script in questione sia eseguito SOLO dalla mia applicazione in flash e non da qualsiasi utente.
In pratica: in questa situazione deve funzionare:
utente------>Appl.Flash----->script

ma in questa situazione deve NON funzionare:
utente--------->script

come posso controllare (all'interno del mio script) che lo script sia eseguito dalla mia applicazione e non da un qualsiasi utente generico?

grazie mille.

[eiyen]

Comincia a verificare il valore di $_SERVER['HTTP_REFERER'] dentro lo script (dipende da come avviene la chiamata)... un'altra possibilità è quella di passare (magari "in POST") un parametro "segreto" in modo da identificare la chiamata

[Alarik]

grazie,
per quanto riguarda $_SERVER['HTTP_REFERER'], ho letto che non è affidabile: qualcuno può modificare gli header della request e spacciarsi per locale...

per quanto riguarda un key o token segreto, ci avevo pensato, il problema è che:
- o il valore della key è hardcoded nella mia applicazione (e se qualcuno la scopre fa quello che vuole)
- o il valore andrebbe aggiornato, ma per farlo devo sempre passare attraverso uno script php e mi rinasce il problema....

[eiyen]

beh... per la questione del parametro è ovvio che uno potrebbe fare RE sul flash, ma questo è sempre vero (o comunque qualunque sistema può essere cmq attaccato), ma nn è così semplice... potresti usare un sistema a chiave asimmetrica, oppure un algoritmo di generazione basato su parametri variabili (es.: ip e ora attuale) che crei una chiave da riprodurre poi dentro il php e confrontare con quanto passato.