- Ad -
php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Bewertung: Bewertung: 3 Stimmen, 4,33 durchschnittlich.
  #1 (permalink)  
Alt 03-11-2005, 12:09
ludwig33
 Registrierter Benutzer
Links : Onlinestatus : ludwig33 ist offline
Registriert seit: Nov 2005
Beiträge: 31
ludwig33 ist zur Zeit noch ein unbeschriebenes Blatt
Standard PHP-Datei nicht direkt aufrufen?

Hallo zusammen,

ich möchte PHP-Dateien vor einem direkten Aufruf im Browser schützen. Der Aufruf sollte nur durch das zugehörige Menu, also aus einem Skript erfolgen.

Ich habe das schon mal vor einigen Jahren genutzt. Vermutlich war das eine Abfrage des Referers oder so ähnlich. Hm, wenn ich nur nicht so vergesslich wäre.

Hat mir jemand dazu einen Hinweis?

Grüße
Ludwig
Mit Zitat antworten
  #2 (permalink)  
Alt 03-11-2005, 12:21
firstlord18
 Member
Links : Onlinestatus : firstlord18 ist offline
Registriert seit: Nov 2004
Ort: Germany
Beiträge: 310
firstlord18 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

ich hab einfach in die menu.php geschrieben

PHP-Code:
$_SESSION["includet"] = "yes"
und dann in die zu includete datei:
PHP-Code:
if(!$_SESSION["includet"] OR $_SESSION["includet"] != "yes")
    die(); 
also is jetzt eine lösung!
aber ich glaube es gibt auch ne function, die checkt, ob die die datei, in der die funktion steht, includiert wurde oider nicht!
Mit Zitat antworten
  #3 (permalink)  
Alt 03-11-2005, 12:23
fox34
 Junior Member
Links : Onlinestatus : fox34 ist offline
Registriert seit: Jul 2005
Beiträge: 134
fox34 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Das funktioniert aber nicht wenn die Session registriert ist


Ich würds so machen:


Aufrufendes Script
PHP-Code:
$directaccess true;

include(
'blablabla.php'); 

und in der datei dann


PHP-Code:
if((!isset($directaccess)) OR (!$directaccess)) die(); 
Mit Zitat antworten
  #4 (permalink)  
Alt 03-11-2005, 12:25
firstlord18
 Member
Links : Onlinestatus : firstlord18 ist offline
Registriert seit: Nov 2004
Ort: Germany
Beiträge: 310
firstlord18 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

hatte ich auch ma so.
aber dann häng einfahc ma an die url ?directaccess an, und wenn register globals an sind, dann is des scheiße
Mit Zitat antworten
  #5 (permalink)  
Alt 03-11-2005, 12:26
fox34
 Junior Member
Links : Onlinestatus : fox34 ist offline
Registriert seit: Jul 2005
Beiträge: 134
fox34 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von firstlord18
hatte ich auch ma so.
aber dann häng einfahc ma an die url ?directaccess an, und wenn register globals an sind, dann is des scheiße

Wer schaltet schon register globals an *lol*


Und wenn, machs doch einfach mit ner Konstante:


PHP-Code:
define(DIRECTACCESS,true); 
PHP-Code:
if(!defined(DIRECTACCESS)) die(); 
Mit Zitat antworten
  #6 (permalink)  
Alt 03-11-2005, 12:27
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
und wenn register globals an sind, dann is des scheiße
Ja, aber wenn register_globals an sind, ist IMMER schei*e. Von daher nicht wirklich ein argument.

Abgesehen davon legt man dateien, auf die man nicht zugreifen soll oberhalb des webroot oder in passwort-geschützte Verzeichnisse ab.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #7 (permalink)  
Alt 03-11-2005, 12:44
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von TobiaZ
Abgesehen davon legt man dateien, auf die man nicht zugreifen soll oberhalb des webroot oder in passwort-geschützte Verzeichnisse ab.
OffTopic:
Was wollt ihr in solchen Fällen immer mit 'nem Passwortschutz?
Wenn auf die Datei keiner per HTTP zugreifen können soll, wozu dann einen Passwortschutz für das Verzeichnis ...?
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #8 (permalink)  
Alt 03-11-2005, 13:01
ludwig33
 Registrierter Benutzer
Links : Onlinestatus : ludwig33 ist offline
Registriert seit: Nov 2005
Beiträge: 31
ludwig33 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Danke für die vielen schnellen Antworten.

Wie bereits geschrieben meine ich es war mit der Prüfung von Umgebungsvariablen machbar. Irgent ein Parameter ist unterschiedlich, je nach dem ob die URL direkt oder aus einem Skript aufgerufen wurde. Grübel, Grübel, ...

Grüße
Ludwig
Mit Zitat antworten
  #9 (permalink)  
Alt 03-11-2005, 13:27
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Wenn auf die Datei keiner per HTTP zugreifen können soll, wozu dann einen Passwortschutz für das Verzeichnis ...?
Da haste mal vollkommen recht! Hab einfach in richtung geschütztes Verzeichnis gedacht...

Zitat:
Wie bereits geschrieben meine ich es war mit der Prüfung von Umgebungsvariablen machbar. Irgent ein Parameter ist unterschiedlich, je nach dem ob die URL direkt oder aus einem Skript aufgerufen wurde. Grübel, Grübel, ...
Könnte man machen. Ob das wirklich nen Vorteil gegenüber nem geschützen Verzeichnis bringt, bezweifel ich da einfach mal.

Wenn du es unbedingt so machen willst, dann suchs dir selbst raus: phpinfo
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!

Geändert von TobiaZ (03-11-2005 um 13:30 Uhr)
Mit Zitat antworten
  #10 (permalink)  
Alt 03-11-2005, 13:43
ludwig33
 Registrierter Benutzer
Links : Onlinestatus : ludwig33 ist offline
Registriert seit: Nov 2005
Beiträge: 31
ludwig33 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von TobiaZ
Da haste mal vollkommen recht! Hab einfach in richtung geschütztes Verzeichnis gedacht...

Könnte man machen. Ob das wirklich nen Vorteil gegenüber nem geschützen Verzeichnis bringt, bezweifel ich da einfach mal.

Wenn du es unbedingt so machen willst, dann suchs dir selbst raus: phpinfo
Nein, das Verzeichnis soll nicht geschützt werden. Es gibt darin Dateien die sind direkt aufrufbar und andere sollen es eben nicht sein.

Danke für den Hinweis mit phpinfo. Das war mir nicht unbenkannt.
Welche Variable ist denn nun unterschiedlich bei Direkt- oder Skript-Aufruf?
Ich meine aus dem Standard-Environment, keine die ich selbst gesetzt habe...

Grüße
Ludwig
Mit Zitat antworten
  #11 (permalink)  
Alt 03-11-2005, 14:06
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Nein, das Verzeichnis soll nicht geschützt werden. Es gibt darin Dateien die sind direkt aufrufbar und andere sollen es eben nicht sein.
1. gibt es die möglichkeit betimmte dateien auszuschließen.
2. kannst du auch "verbotene dateien" verschieben.

Zitat:
Danke für den Hinweis mit phpinfo. Das war mir nicht unbenkannt.
Welche Variable ist denn nun unterschiedlich bei Direkt- oder Skript-Aufruf?
Ich meine aus dem Standard-Environment, keine die ich selbst gesetzt habe...
Du willst mir sagen, dass du nicht selbst auf die idee kommst, mal schnell zwei testdateien zu erstellen um die vars zu vergleichen? Hint: eine Datei includierst du in die andere.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #12 (permalink)  
Alt 03-11-2005, 14:24
firstlord18
 Member
Links : Onlinestatus : firstlord18 ist offline
Registriert seit: Nov 2004
Ort: Germany
Beiträge: 310
firstlord18 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von TobiaZ
Ja, aber wenn register_globals an sind, ist IMMER schei*e. Von daher nicht wirklich ein argument.
naja, ich glaube auf meinem space sind diese noch auf an!
und ich finde, das ist ein argument!
und warum sind diese immer scheiße?
wenn ich alle aktionen etc mit meinen superglobalen amche, dann ist das doch total schnuppe, ob register globals an sind ...
Mit Zitat antworten
  #13 (permalink)  
Alt 03-11-2005, 14:45
ludwig33
 Registrierter Benutzer
Links : Onlinestatus : ludwig33 ist offline
Registriert seit: Nov 2005
Beiträge: 31
ludwig33 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von TobiaZ
Du willst mir sagen, dass du nicht selbst auf die idee kommst, mal schnell zwei testdateien zu erstellen um die vars zu vergleichen? Hint: eine Datei includierst du in die andere.
Äh, ich glaube wir reden aneinander vorbei.
Selbstverständlich teste ich.

Nochmal ein Beispiel:
Aufruf im Browser lautet http://www.xyz.de/index.php. In der index.php wird ein Link auf zeige_liste.php, welche im selben Verzeichnis liegt, angezeigt. Klicken auf diesen Link soll diese Seite anzeigen. Der direkte Aufruf http://www.xyz.de/zeige_liste.php im Browser soll nicht funktionieren.

Ich bin gerade dabei eine bestehende App, die ich nicht verbrochen habe, zu korrigieren. Da liegen tatsächlich 212 PHP-Dateien im Root-Verzeichnis. Natürlich sind auch alle gegenseitigen Links innerhalb dieser Dateien nur über das Rootverzeichnis. Sorry, aber ich habe keine Zeit da eine Verzeichnisstruktur einzufügen, da ich andere Probleme damit habe.

Grüße
Ludwig
Mit Zitat antworten
  #14 (permalink)  
Alt 03-11-2005, 14:50
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von ludwig33
Nochmal ein Beispiel:
Aufruf im Browser lautet http://www.xyz.de/index.php. In der index.php wird ein Link auf zeige_liste.php, welche im selben Verzeichnis liegt, angezeigt. Klicken auf diesen Link soll diese Seite anzeigen. Der direkte Aufruf http://www.xyz.de/zeige_liste.php im Browser soll nicht funktionieren.
Warum sagst du das nicht gleich ...? Wo von du vorher geredet hast, das dürften wohl alle hier anders verstanden haben.

Kurz: Du willst den Referrer abfragen, ob er von deiner Seite ist oder nicht.

Zitat:
Sorry, aber ich habe keine Zeit da eine Verzeichnisstruktur einzufügen, da ich andere Probleme damit habe.
Dann informiere dich aber bitte auch gleich, was für eine unzuverlässige Größe der Referrer ist - damit du dir nicht noch mehr Probleme mit einer Schein-Lösung einhandelst.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Mit Web-Templates Geld verdienen
Mit Web-Templates Geld verdienenWeb-Templates gewinnen immer mehr an Bedeutung. Erfahre hier, wie du dir mit dem TemplateMonster-Marktplatz neue Verkaufswege erschließen kannst.

17.10.2017 | Berni

Kostenloser PHP Editor Codelobster
Kostenloser PHP Editor CodelobsterEin einfach zu verwendender PHP, HTML, CSS, JavaScript Editor mit vielen Funktionen

21.09.2017 | Berni


 

Aktuelle PHP Scripte

PHP Newsletter Script SuperWebMailer ansehen PHP Newsletter Script SuperWebMailer

Die webbasierte PHP Newsletter Software SuperWebMailer ist die optimale Lösung zur Durchführung eines erfolgreichen E-Mail-Marketings. Zur Nutzung des PHP Script-Pakets ist eine eigene Webpräsenz/Server mit PHP 4 oder neuer, MySQL 3.23 oder neuer und die

17.11.2017 mirko_swm | Kategorie: PHP/ Mail
belbit Ticketcenter ansehen belbit Ticketcenter

Supportanfragen per Helpdesk über E-Mail und per Kontaktformular entgegennehmen. Inkl. iPhone- und Android App zum mobilen Beantworten von Anfragen.

14.11.2017 EichbaumMedia | Kategorie: PHP/ Ticketsystem
PHP Counter Script V1.0 ansehen PHP Counter Script V1.0

Ein ganz einfach einzubauender Besucherzähler. Kostenlos und ohne Werbung für private und gewerbliche Webseiten!

14.11.2017 hinnendahl_com | Kategorie: PHP/ Counter
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 05:10 Uhr.