限制Python文件只在服务器上执行(防止浏览器访问)
我有两个Python文件,我想让它们只能在服务器内部执行,其他人不能随便运行。这两个文件的功能是给用户增加一笔钱。我需要确保这些文件对外部网络是不可见的,也就是说,如果有人试图调用这些文件,系统会拒绝这个请求,只有服务器内部的调用才会被接受。
有没有人知道我该怎么做?我最初的想法是检查IP地址,但很多人可以伪造他们的IP。
举个例子
假设我有一个文件叫做 function.py,这个文件里的一个函数会接受一个新的金额,并在数据库中增加相应的余额。
当有人试图向这个文件发送数据,而这个人是在服务器外部(比如说来自 244.23.23.0),那么这个文件就无法访问。而如果是从服务器内部调用这个函数,就会被接受。
也就是说,文件可以在服务器内部相互访问,但外部用户不能访问,这样就确保了没有人能执行这个文件,除非是从服务器内部调用。
这对我来说非常重要,因为这涉及到真实的金钱。此外,这笔钱将来自PayPal的IPN。如果能有办法限制访问,只有来自PayPal的请求才能通过,那将是一个非常好的安全措施。
好的,至于我尝试过的:
- 把数据库放在Google的云SQL上 [https://developers.google.com/cloud-sql/]
- 尝试在文件中检查传入请求的IP
感谢大家的帮助。
5 个回答
关于PayPal的事情……
我建议你看看这个例子,这是PayPal提供的,属于x.com,可信的。
这里面重要的部分是:
// STEP 2: Post IPN data back to paypal to validate
$ch = curl_init('https://www.paypal.com/cgi-bin/webscr');
curl_setopt($ch, CURLOPT_HTTP_VERSION, CURL_HTTP_VERSION_1_1);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $req);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 1);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2);
curl_setopt($ch, CURLOPT_FORBID_REUSE, 1);
curl_setopt($ch, CURLOPT_HTTPHEADER, array('Connection: Close'));
// In wamp like environments that do not come bundled with root authority certificates,
// please download 'cacert.pem' from "http://curl.haxx.se/docs/caextract.html" and set the directory path
// of the certificate as shown below.
// curl_setopt($ch, CURLOPT_CAINFO, dirname(__FILE__) . '/cacert.pem');
if( !($res = curl_exec($ch)) ) {
// error_log("Got " . curl_error($ch) . " when processing IPN data");
curl_close($ch);
exit;
}
curl_close($ch);
// STEP 3: Inspect IPN validation result and act accordingly
if (strcmp ($res, "VERIFIED") == 0) {
// check whether the payment_status is Completed
// check that txn_id has not been previously processed
// check that receiver_email is your Primary PayPal email
// check that payment_amount/payment_currency are correct
// process payment
// assign posted variables to local variables
$item_name = $_POST['item_name'];
$item_number = $_POST['item_number'];
$payment_status = $_POST['payment_status'];
$payment_amount = $_POST['mc_gross'];
$payment_currency = $_POST['mc_currency'];
$txn_id = $_POST['txn_id'];
$receiver_email = $_POST['receiver_email'];
$payer_email = $_POST['payer_email'];
} else if (strcmp ($res, "INVALID") == 0) {
// log for manual investigation
}
在这里发生的事情是,你发送给ipn脚本的请求会被发回给PayPal进行验证,PayPal会检查这些信息,然后返回一个“有效”的回应。这个时候你就知道这些数据是正确的,并且是由PayPal发送的。接下来,你就可以根据这些数据进行操作,比如更新数据库或者执行其他需要的动作。
.htaccess、chmod,或者你可以使用自己定义的密钥……你有很多选择。
补充一下:无论如何,如果这个文件只包含一个函数,外部的HTTP请求是无法使用它的,除非你在这个文件里实际调用它:function();
如果你使用的是Apache服务器,可以通过一个叫做.htaccess的文件来限制对你文件的访问: