Script-Zugriff von anderem Server verhindern ?

**TobiaZ** · 27.12.2004, 23:23

nee, mittels http_host sicher nicht! guck mal, was da drin steht.

evtl. mit referer, aber kann man ja auch fälschen. evtl hilft dir eine suche in richtung traffic-klau weiter..

**penizillin** · 28.12.2004, 02:44

p.s.

Der Zugriff auf diese Datei soll nur von meinem Server gestattet sein.

definiere.

**GundeCK** · 28.12.2004, 08:17

Habe nach "Traffic-klau" gesucht. Denke aber da war nichts passendes bei.
Ok. Nochmal genaue Definition:

Ich habe beispielsweise eine Linkliste, oder Gästebuch welches per URL
Variablen übergeben werden können, zum speichern in eine Datenbank.
Ungefähr so:

http://mydomain.de/add.php?name=Klau...email@email.de u.s.w.

Nun gibt es ja viel schlaue Leute die z.B. einen Suchmaschinen-Eintrag,
oder ein Linklisten-Eintrag auf Ihre Webseite anbieten und mittels
eines automatisierten Scriptes sich sowas zu nutze machen, diese URL's
sammeln um sie mit zu Ihrem Eintrags-Service hinzuzufügen.

Wenn nun z.B. jemand meine URL mit in diesem Script einfügt, natürlich mit
ständig wechselnden Variablen wenn Leute sich dort eintragen, funktioniert das ja ohne Probleme. Und genau das möchte ich verhindern.
Das jemand Zugriff mittels eines Php-Scriptes von einem anderen Server auf mein Script und Server hat.

Ja, ich habe auch schon an IP-Sperre gedacht, nur leider ist mir das zu
mühsam ständig die IP-Adressen nach doppeltem vorkommen zu überprüfen und gegebenfalls zu sperren.

Gibt es da nicht doch eine Lösung ?

**marc75** · 28.12.2004, 08:23

mhh

erstmal von GET auf POST umstellen würde ich sagen, dann session benutzen, und dann kann man zu Laufzeit ein pw generieren -> als image anzeigen das dann vom user eingegeben werden muss usw...

**GundeCK** · 28.12.2004, 08:34

An sowas habe ich auch schon gedacht. Nur ist das ein ganz schön kleiner Aufwand für so'n kleines Script. Müßte ja Beispielsweise noch 'n paar Grafiken erstellen und sowas. Aber wie es aussieht gibt es da wohl keine andere, LEICHTE Möglichkeit. Mit Java-Script z.B. kann man auch den Remote-Host auslesen. Geht das in PHP nicht ? Würde dann ungefähr so aussehen:

if($remoteHost! == "meineDomain.de")
{
echo "Zugriff verweigert !";
}

Hmmmmm .......

**Schnoop** · 28.12.2004, 08:38

Wer lesen kann (und will) ist klar im Vorteil

http://de3.php.net/manual/de/reserved.variables.php

**marc75** · 28.12.2004, 08:47

schon mal phpinfo(); aufgerufen und nachgesehen?

**marc75** · 28.12.2004, 08:49

Original geschrieben von GundeCK
Müßte ja Beispielsweise noch 'n paar Grafiken erstellen und sowas.

warum? hast du schon mal was von image funktionen von php gehört?

**GundeCK** · 28.12.2004, 09:03

Das Problem mit diesem $REMOTE-HOST ist, das nicht nur Server auf dieses Script zugreifen, sondern natürlich auch Internet-User, die eine IP-Adresse besitzen, ohne einen Host zu haben.

Und zu den Image-Funktionen. Ja, habe ich mich eine ganze Weile mit beschäftigt. Das war doch glaube 'ne Spielerei aus der GDI-Bibliothek, wenn ich mich nicht irre. Aber dazu müßte ich ja auch wieder'n Script basteln :-P Naja ... Ich denke ich werde da so 'n kleines Script basteln müssen was entweder die IP-Adresse vom zuzugreifenden User coded und in einem Formluar vor dem zu speichernden Script coded und zu dem eigentlichen Script überträgt, oder mit dieser Image-Spielerei. Die Server-Variablen helfen mir irgendwie nicht wirklich weiter.

**Payne_of_Death** · 28.12.2004, 14:39

Klar ich habe eine IP aber keinen Hostnamen

Warum soll man dann im IRC über einen Bouncer gehen um seinen Hostnamen zu verstecken?

Auch was du nun genau schützen willst ist mir unklar.....

Wenn jemand Bilder nicht sehen soll oder downloaden soll dann bastle ein Logging System......

Traffic Klau lässt sich unterbinden wenn man eine Konstante im Header setzt und diese dabei in den Scripten direkt abfragt ob diese vorhanden sind. Folge: Greift irgendjemand auf ein Script direkt ohne Header zu gibt es die Konstante nicht und damit ein Direktdownload......

**TobiaZ** · 28.12.2004, 14:42

Traffic Klau lässt sich unterbinden wenn man eine Konstante im Header setzt und diese dabei in den Scripten direkt abfragt ob diese vorhanden sind. Folge: Greift irgendjemand auf ein Script direkt ohne Header zu gibt es die Konstante nicht und damit ein Direktdownload......

Hmm, das wüsste ich gerne genauer?

**Payne_of_Death** · 28.12.2004, 14:56

Original geschrieben von TobiaZ
Hmm, das wüsste ich gerne genauer?

Normal sind Seiten so gebaut das es derartiges gibt

Header -> fremder HTTP-Referer setzt keine Konstante es sei denn es gibt keinen HTTP-Referer....
variabler Content -> File entscheidet was eingebunden wird
Footer

Im Content wird diese Konstante für das Script X wo es erforderlich ist geprüft ob sie vorhanden ist....

**TobiaZ** · 28.12.2004, 14:58

hmm, von was für einer konstante reden wir? und wir reden vom header den der browser sendet?

**Payne_of_Death** · 28.12.2004, 15:00

Original geschrieben von TobiaZ
hmm, von was für einer konstante reden wir? und wir reden vom header den der browser sendet?

Ne wir reden von einer x beliebigen Konstante die man mit define() zum Leben erweckt.....

Mit Header meine den Kopf der Seite....

Eigentlich ganz banal.....

Script-Zugriff von anderem Server verhindern ?