Script-Zugriff von anderem Server verhindern ?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Script-Zugriff von anderem Server verhindern ?

    Morgen !

    Ich habe eine Frage/Problem. Ich habe eine PHP-Datei / Script, welches
    Variablen per URL bzw. Formular übergeben. Nun möchte ich jedoch verhindern das sich andere "Webmaster" die ein bißchen Ahnung von PHP
    haben, Zugriff auf dieses Script verschaffen können. (Von einem anderen Server aus). Kurz und knapp, Beispiel:

    http://mydomain.de/add.php?name=Klau...ame=Mustermann

    Der Zugriff auf diese Datei soll nur von meinem Server gestattet sein.
    Ist es möglich das irgendwie mittels $http_host oder sowas zu schützen,
    das andere Server/Leute dieses Script nicht ausführen können ?

    Vielleicht so:

    if($http_host == "meinedomain.de")
    {
    echo "Zugriff OK";
    }
    else
    {
    echo "Das Script wurde von einem anderen Server aufgerufen !";
    }

    Kleine Info oder gar ein dazu funktionierendes Script wäre echt nett !


    DAnke !

  • #2
    nee, mittels http_host sicher nicht! guck mal, was da drin steht.

    evtl. mit referer, aber kann man ja auch fälschen. evtl hilft dir eine suche in richtung traffic-klau weiter..

    Comment


    • #3
      p.s.
      Der Zugriff auf diese Datei soll nur von meinem Server gestattet sein.
      definiere.

      Comment


      • #4
        Habe nach "Traffic-klau" gesucht. Denke aber da war nichts passendes bei.
        Ok. Nochmal genaue Definition:

        Ich habe beispielsweise eine Linkliste, oder Gästebuch welches per URL
        Variablen übergeben werden können, zum speichern in eine Datenbank.
        Ungefähr so:

        http://mydomain.de/add.php?name=Klau...email@email.de u.s.w.

        Nun gibt es ja viel schlaue Leute die z.B. einen Suchmaschinen-Eintrag,
        oder ein Linklisten-Eintrag auf Ihre Webseite anbieten und mittels
        eines automatisierten Scriptes sich sowas zu nutze machen, diese URL's
        sammeln um sie mit zu Ihrem Eintrags-Service hinzuzufügen.

        Wenn nun z.B. jemand meine URL mit in diesem Script einfügt, natürlich mit
        ständig wechselnden Variablen wenn Leute sich dort eintragen, funktioniert das ja ohne Probleme. Und genau das möchte ich verhindern.
        Das jemand Zugriff mittels eines Php-Scriptes von einem anderen Server auf mein Script und Server hat.

        Ja, ich habe auch schon an IP-Sperre gedacht, nur leider ist mir das zu
        mühsam ständig die IP-Adressen nach doppeltem vorkommen zu überprüfen und gegebenfalls zu sperren.

        Gibt es da nicht doch eine Lösung ?

        Comment


        • #5
          mhh

          erstmal von GET auf POST umstellen würde ich sagen, dann session benutzen, und dann kann man zu Laufzeit ein pw generieren -> als image anzeigen das dann vom user eingegeben werden muss usw...
          mfg
          marc75

          <Platz für anderes>

          Comment


          • #6
            An sowas habe ich auch schon gedacht. Nur ist das ein ganz schön kleiner Aufwand für so'n kleines Script. Müßte ja Beispielsweise noch 'n paar Grafiken erstellen und sowas. Aber wie es aussieht gibt es da wohl keine andere, LEICHTE Möglichkeit. Mit Java-Script z.B. kann man auch den Remote-Host auslesen. Geht das in PHP nicht ? Würde dann ungefähr so aussehen:

            if($remoteHost! == "meineDomain.de")
            {
            echo "Zugriff verweigert !";
            }

            Hmmmmm .......

            Comment


            • #7
              Wer lesen kann (und will) ist klar im Vorteil

              http://de3.php.net/manual/de/reserved.variables.php

              Comment


              • #8
                schon mal phpinfo(); aufgerufen und nachgesehen?
                mfg
                marc75

                <Platz für anderes>

                Comment


                • #9
                  Original geschrieben von GundeCK
                  Müßte ja Beispielsweise noch 'n paar Grafiken erstellen und sowas.
                  warum? hast du schon mal was von image funktionen von php gehört?
                  mfg
                  marc75

                  <Platz für anderes>

                  Comment


                  • #10
                    Das Problem mit diesem $REMOTE-HOST ist, das nicht nur Server auf dieses Script zugreifen, sondern natürlich auch Internet-User, die eine IP-Adresse besitzen, ohne einen Host zu haben.

                    Und zu den Image-Funktionen. Ja, habe ich mich eine ganze Weile mit beschäftigt. Das war doch glaube 'ne Spielerei aus der GDI-Bibliothek, wenn ich mich nicht irre. Aber dazu müßte ich ja auch wieder'n Script basteln :-P Naja ... Ich denke ich werde da so 'n kleines Script basteln müssen was entweder die IP-Adresse vom zuzugreifenden User coded und in einem Formluar vor dem zu speichernden Script coded und zu dem eigentlichen Script überträgt, oder mit dieser Image-Spielerei. Die Server-Variablen helfen mir irgendwie nicht wirklich weiter.

                    Comment


                    • #11
                      Klar ich habe eine IP aber keinen Hostnamen

                      Warum soll man dann im IRC über einen Bouncer gehen um seinen Hostnamen zu verstecken?

                      Auch was du nun genau schützen willst ist mir unklar.....


                      Wenn jemand Bilder nicht sehen soll oder downloaden soll dann bastle ein Logging System......

                      Traffic Klau lässt sich unterbinden wenn man eine Konstante im Header setzt und diese dabei in den Scripten direkt abfragt ob diese vorhanden sind. Folge: Greift irgendjemand auf ein Script direkt ohne Header zu gibt es die Konstante nicht und damit ein Direktdownload......
                      [color=blue]MfG Payne_of_Death[/color]

                      [color=red]Manual(s):[/color] <-| PHP | MySQL | SELFHTML |->
                      [color=red]Merke:[/color]
                      [color=blue]Du brauchst das Rad nicht neu erfinden ! [/color]<-ForumSuche rettet Leben-> || <-Schau in den Codeschnippsels->

                      Murphy`s Importanst LAWS
                      Jede Lösung bringt nur neue Probleme
                      Das Fluchen ist die einzige Sprache, die jeder Programmierer beherrscht.
                      In jedem kleinen Problem steckt ein großes, das gern raus moechte.

                      Comment


                      • #12
                        Traffic Klau lässt sich unterbinden wenn man eine Konstante im Header setzt und diese dabei in den Scripten direkt abfragt ob diese vorhanden sind. Folge: Greift irgendjemand auf ein Script direkt ohne Header zu gibt es die Konstante nicht und damit ein Direktdownload......
                        Hmm, das wüsste ich gerne genauer?

                        Comment


                        • #13
                          Original geschrieben von TobiaZ
                          Hmm, das wüsste ich gerne genauer?
                          Normal sind Seiten so gebaut das es derartiges gibt

                          Header -> fremder HTTP-Referer setzt keine Konstante es sei denn es gibt keinen HTTP-Referer....
                          variabler Content -> File entscheidet was eingebunden wird
                          Footer

                          Im Content wird diese Konstante für das Script X wo es erforderlich ist geprüft ob sie vorhanden ist....
                          [color=blue]MfG Payne_of_Death[/color]

                          [color=red]Manual(s):[/color] <-| PHP | MySQL | SELFHTML |->
                          [color=red]Merke:[/color]
                          [color=blue]Du brauchst das Rad nicht neu erfinden ! [/color]<-ForumSuche rettet Leben-> || <-Schau in den Codeschnippsels->

                          Murphy`s Importanst LAWS
                          Jede Lösung bringt nur neue Probleme
                          Das Fluchen ist die einzige Sprache, die jeder Programmierer beherrscht.
                          In jedem kleinen Problem steckt ein großes, das gern raus moechte.

                          Comment


                          • #14
                            hmm, von was für einer konstante reden wir? und wir reden vom header den der browser sendet?

                            Comment


                            • #15
                              Original geschrieben von TobiaZ
                              hmm, von was für einer konstante reden wir? und wir reden vom header den der browser sendet?
                              Ne wir reden von einer x beliebigen Konstante die man mit define() zum Leben erweckt.....

                              Mit Header meine den Kopf der Seite....

                              Eigentlich ganz banal.....
                              [color=blue]MfG Payne_of_Death[/color]

                              [color=red]Manual(s):[/color] <-| PHP | MySQL | SELFHTML |->
                              [color=red]Merke:[/color]
                              [color=blue]Du brauchst das Rad nicht neu erfinden ! [/color]<-ForumSuche rettet Leben-> || <-Schau in den Codeschnippsels->

                              Murphy`s Importanst LAWS
                              Jede Lösung bringt nur neue Probleme
                              Das Fluchen ist die einzige Sprache, die jeder Programmierer beherrscht.
                              In jedem kleinen Problem steckt ein großes, das gern raus moechte.

                              Comment

                              Working...
                              X