PHP-Datei nicht direkt aufrufen?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • PHP-Datei nicht direkt aufrufen?

    Hallo zusammen,

    ich möchte PHP-Dateien vor einem direkten Aufruf im Browser schützen. Der Aufruf sollte nur durch das zugehörige Menu, also aus einem Skript erfolgen.

    Ich habe das schon mal vor einigen Jahren genutzt. Vermutlich war das eine Abfrage des Referers oder so ähnlich. Hm, wenn ich nur nicht so vergesslich wäre.

    Hat mir jemand dazu einen Hinweis?

    Grüße
    Ludwig

  • #2
    ich hab einfach in die menu.php geschrieben

    PHP-Code:
    $_SESSION["includet"] = "yes"
    und dann in die zu includete datei:
    PHP-Code:
    if(!$_SESSION["includet"] OR $_SESSION["includet"] != "yes")
        die(); 
    also is jetzt eine lösung!
    aber ich glaube es gibt auch ne function, die checkt, ob die die datei, in der die funktion steht, includiert wurde oider nicht!

    Kommentar


    • #3
      Das funktioniert aber nicht wenn die Session registriert ist


      Ich würds so machen:


      Aufrufendes Script
      PHP-Code:
      $directaccess true;

      include(
      'blablabla.php'); 

      und in der datei dann


      PHP-Code:
      if((!isset($directaccess)) OR (!$directaccess)) die(); 

      Kommentar


      • #4
        hatte ich auch ma so.
        aber dann häng einfahc ma an die url ?directaccess an, und wenn register globals an sind, dann is des scheiße

        Kommentar


        • #5
          Original geschrieben von firstlord18
          hatte ich auch ma so.
          aber dann häng einfahc ma an die url ?directaccess an, und wenn register globals an sind, dann is des scheiße

          Wer schaltet schon register globals an *lol*


          Und wenn, machs doch einfach mit ner Konstante:


          PHP-Code:
          define(DIRECTACCESS,true); 
          PHP-Code:
          if(!defined(DIRECTACCESS)) die(); 

          Kommentar


          • #6
            und wenn register globals an sind, dann is des scheiße
            Ja, aber wenn register_globals an sind, ist IMMER schei*e. Von daher nicht wirklich ein argument.

            Abgesehen davon legt man dateien, auf die man nicht zugreifen soll oberhalb des webroot oder in passwort-geschützte Verzeichnisse ab.

            Kommentar


            • #7
              Original geschrieben von TobiaZ
              Abgesehen davon legt man dateien, auf die man nicht zugreifen soll oberhalb des webroot oder in passwort-geschützte Verzeichnisse ab.
              OffTopic:
              Was wollt ihr in solchen Fällen immer mit 'nem Passwortschutz?
              Wenn auf die Datei keiner per HTTP zugreifen können soll, wozu dann einen Passwortschutz für das Verzeichnis ...?
              I don't believe in rebirth. Actually, I never did in my whole lives.

              Kommentar


              • #8
                Danke für die vielen schnellen Antworten.

                Wie bereits geschrieben meine ich es war mit der Prüfung von Umgebungsvariablen machbar. Irgent ein Parameter ist unterschiedlich, je nach dem ob die URL direkt oder aus einem Skript aufgerufen wurde. Grübel, Grübel, ...

                Grüße
                Ludwig

                Kommentar


                • #9
                  Wenn auf die Datei keiner per HTTP zugreifen können soll, wozu dann einen Passwortschutz für das Verzeichnis ...?
                  Da haste mal vollkommen recht! Hab einfach in richtung geschütztes Verzeichnis gedacht...

                  Wie bereits geschrieben meine ich es war mit der Prüfung von Umgebungsvariablen machbar. Irgent ein Parameter ist unterschiedlich, je nach dem ob die URL direkt oder aus einem Skript aufgerufen wurde. Grübel, Grübel, ...
                  Könnte man machen. Ob das wirklich nen Vorteil gegenüber nem geschützen Verzeichnis bringt, bezweifel ich da einfach mal.

                  Wenn du es unbedingt so machen willst, dann suchs dir selbst raus: phpinfo
                  Zuletzt geändert von TobiaZ; 03.11.2005, 12:30.

                  Kommentar


                  • #10
                    Original geschrieben von TobiaZ
                    Da haste mal vollkommen recht! Hab einfach in richtung geschütztes Verzeichnis gedacht...

                    Könnte man machen. Ob das wirklich nen Vorteil gegenüber nem geschützen Verzeichnis bringt, bezweifel ich da einfach mal.

                    Wenn du es unbedingt so machen willst, dann suchs dir selbst raus: phpinfo
                    Nein, das Verzeichnis soll nicht geschützt werden. Es gibt darin Dateien die sind direkt aufrufbar und andere sollen es eben nicht sein.

                    Danke für den Hinweis mit phpinfo. Das war mir nicht unbenkannt.
                    Welche Variable ist denn nun unterschiedlich bei Direkt- oder Skript-Aufruf?
                    Ich meine aus dem Standard-Environment, keine die ich selbst gesetzt habe...

                    Grüße
                    Ludwig

                    Kommentar


                    • #11
                      Nein, das Verzeichnis soll nicht geschützt werden. Es gibt darin Dateien die sind direkt aufrufbar und andere sollen es eben nicht sein.
                      1. gibt es die möglichkeit betimmte dateien auszuschließen.
                      2. kannst du auch "verbotene dateien" verschieben.

                      Danke für den Hinweis mit phpinfo. Das war mir nicht unbenkannt.
                      Welche Variable ist denn nun unterschiedlich bei Direkt- oder Skript-Aufruf?
                      Ich meine aus dem Standard-Environment, keine die ich selbst gesetzt habe...
                      Du willst mir sagen, dass du nicht selbst auf die idee kommst, mal schnell zwei testdateien zu erstellen um die vars zu vergleichen? Hint: eine Datei includierst du in die andere.

                      Kommentar


                      • #12
                        Original geschrieben von TobiaZ
                        Ja, aber wenn register_globals an sind, ist IMMER schei*e. Von daher nicht wirklich ein argument.
                        naja, ich glaube auf meinem space sind diese noch auf an!
                        und ich finde, das ist ein argument!
                        und warum sind diese immer scheiße?
                        wenn ich alle aktionen etc mit meinen superglobalen amche, dann ist das doch total schnuppe, ob register globals an sind ...

                        Kommentar


                        • #13
                          Original geschrieben von TobiaZ
                          Du willst mir sagen, dass du nicht selbst auf die idee kommst, mal schnell zwei testdateien zu erstellen um die vars zu vergleichen? Hint: eine Datei includierst du in die andere.
                          Äh, ich glaube wir reden aneinander vorbei.
                          Selbstverständlich teste ich.

                          Nochmal ein Beispiel:
                          Aufruf im Browser lautet http://www.xyz.de/index.php. In der index.php wird ein Link auf zeige_liste.php, welche im selben Verzeichnis liegt, angezeigt. Klicken auf diesen Link soll diese Seite anzeigen. Der direkte Aufruf http://www.xyz.de/zeige_liste.php im Browser soll nicht funktionieren.

                          Ich bin gerade dabei eine bestehende App, die ich nicht verbrochen habe, zu korrigieren. Da liegen tatsächlich 212 PHP-Dateien im Root-Verzeichnis. Natürlich sind auch alle gegenseitigen Links innerhalb dieser Dateien nur über das Rootverzeichnis. Sorry, aber ich habe keine Zeit da eine Verzeichnisstruktur einzufügen, da ich andere Probleme damit habe.

                          Grüße
                          Ludwig

                          Kommentar


                          • #14
                            Original geschrieben von ludwig33
                            Nochmal ein Beispiel:
                            Aufruf im Browser lautet http://www.xyz.de/index.php. In der index.php wird ein Link auf zeige_liste.php, welche im selben Verzeichnis liegt, angezeigt. Klicken auf diesen Link soll diese Seite anzeigen. Der direkte Aufruf http://www.xyz.de/zeige_liste.php im Browser soll nicht funktionieren.
                            Warum sagst du das nicht gleich ...? Wo von du vorher geredet hast, das dürften wohl alle hier anders verstanden haben.

                            Kurz: Du willst den Referrer abfragen, ob er von deiner Seite ist oder nicht.

                            Sorry, aber ich habe keine Zeit da eine Verzeichnisstruktur einzufügen, da ich andere Probleme damit habe.
                            Dann informiere dich aber bitte auch gleich, was für eine unzuverlässige Größe der Referrer ist - damit du dir nicht noch mehr Probleme mit einer Schein-Lösung einhandelst.
                            I don't believe in rebirth. Actually, I never did in my whole lives.

                            Kommentar

                            Lädt...
                            X