php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 11-12-2004, 21:17
zabarax
 Junior Member
Links : Onlinestatus : zabarax ist offline
Registriert seit: Jan 2004
Beiträge: 80
zabarax ist zur Zeit noch ein unbeschriebenes Blatt
Standard Auf fremde Webserver mit eigenen Formularen zugreifen

Hallo bei Forumularen werden ja Variablen an PHP übergeben.
Dabei können Probleme entstehen.

Ein Beispiel:
Bei eienm Uploadformular wird die Dateigröße ja meistens in einem hidden Textfeld übergeben, da das ganze dann auch ohne DB funktioniert.
Was kann man dagegen unternehmen, dass sich nicht jemand ein eignes Forumular bastelt und dann die Maximale Dateigröße heraufsetzt?
Gibt es also eine Technik die man anwenden kann um nur Daten vom eigenen Formular zu akzeptieren?
z.B. den Referer checken?
PS: Mir ist schon klar, das es in PHP eine Variable gibt, die die maximale Größe von Dateien bestimmt und die sich nicht manipulieren läßt
Mit Zitat antworten
freelancermap.de - IT Projektvermittlung für Selbständige und Freiberufler
  #2 (permalink)  
Alt 11-12-2004, 21:24
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Bei eienm Uploadformular wird die Dateigröße ja meistens in einem hidden Textfeld übergeben, da das ganze dann auch ohne DB funktioniert.
Unsinn!

Ich sag nur never trust incomeing data. Was du daraus machst ist dir selbst überlassen. Aber wenn du dein PHP-Script auf "fremde" daten stützt, dann bist du selbst schuld!
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #3 (permalink)  
Alt 11-12-2004, 21:38
zabarax
 Junior Member
Links : Onlinestatus : zabarax ist offline
Registriert seit: Jan 2004
Beiträge: 80
zabarax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von TobiaZ
Unsinn!
Soll das also heißen, du würdest auf jeden Fall die Dateigröße nicht über ein Hidden Atribut übergeben, sondern aus einer DB oder Textdatei oder sonst irgendwas lesen?
In dem Tutorial auf diese Webseite wird auch ein hidden Feld benutzt.

Zitat:
Original geschrieben von TobiaZ
Ich sag nur never trust incomeing data. Was du daraus machst ist dir selbst überlassen.
Und wie realisiert man so was?
Wenn du generell keinen Daten traust, die von deinem Formular stammen, hat das Formular wohl auch keinen Zweck.

Zitat:
Original geschrieben von TobiaZ
Aber wenn du dein PHP-Script auf "fremde" daten stützt, dann bist du selbst schuld!
Wie mache ich es denn, das niemand von fremden Seiten Daten an mein Formular senden darf?
Die Varaiblennamen sind doch aus dem Quelletext des Formulars zu erkennen.
Mit Zitat antworten
  #4 (permalink)  
Alt 11-12-2004, 21:50
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von zabarax
Wenn du generell keinen Daten traust, die von deinem Formular stammen, hat das Formular wohl auch keinen Zweck.
doch, natürlich.

vertrauen ist gut, kontrolle ist besser findet auch hier anwendung.

Zitat:
Wie mache ich es denn, das niemand von fremden Seiten Daten an mein Formular senden darf?
warum sollte das niemand dürfen?

woher die daten kommen, ist vollkommen unerheblich.

das einzig wichtige ist, ob sie deine kriterien erfüllen, oder nicht. wenn ja, nimmst du die daten an, wenn nicht, weißt du sie ab.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #5 (permalink)  
Alt 11-12-2004, 21:59
zabarax
 Junior Member
Links : Onlinestatus : zabarax ist offline
Registriert seit: Jan 2004
Beiträge: 80
zabarax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von wahsaga
warum sollte das niemand dürfen?
ich will, das die Leute dann mein eigenes Formular benutzen und sich nicht selbst eins stricken und dann auf ihren Server laden und mir die Daten dann schicken.
OK, es geht auch einfacher, sie müßen ja nur ein Formular basteln, die Variablen so nennen wie ich und im action den Pfad zu meinem auswertescript setzten.

Zitat:
Original geschrieben von wahsaga
woher die daten kommen, ist vollkommen unerheblich.
Mag sein, aber mir wäre es am liebsten wenn keiner auf die Idee kommen würde und sich selbst ein Formular bastelt.

Zitat:
Original geschrieben von wahsaga
das einzig wichtige ist, ob sie deine kriterien erfüllen, oder nicht. wenn ja, nimmst du die daten an, wenn nicht, weißt du sie ab. [/B]
Und was sind sind die Kreterien in deinem Fall?

zabarax
Mit Zitat antworten
  #6 (permalink)  
Alt 11-12-2004, 22:02
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
ich will, das die Leute dann mein eigenes Formular benutzen und sich nicht selbst eins stricken und dann auf ihren Server laden und mir die Daten dann schicken.

[...]


Mag sein, aber mir wäre es am liebsten wenn keiner auf die Idee kommen würde und sich selbst ein Formular bastelt.
Und warum,willst du das? Wahsaga hatte da doch grad erst was zu geschrieben.

Zitat:
Und was sind sind die Kreterien in deinem Fall?
Kann dir doch egal sein, wahsaga hat sicher andere!
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #7 (permalink)  
Alt 11-12-2004, 22:09
zabarax
 Junior Member
Links : Onlinestatus : zabarax ist offline
Registriert seit: Jan 2004
Beiträge: 80
zabarax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von TobiaZ
Und warum,willst du das? Wahsaga hatte da doch grad erst was zu geschrieben.
und ich habe auch darauf geantwortet.
Aber ok, wieso sollte ich dann überhaupt ein Forumular entwickeln, wenn mal ein paar scriptkidies versuchen mit ihrem eigenen auf mein Script zuzugreifen?

Zitat:
Original geschrieben von TobiaZ
Kann dir doch egal sein, wahsaga hat sicher andere! [/B]
Ich habe keine Ahnung was so Kreterien sein können.
Es hat mich nur interessiert, nach welchen Kreterien man Daten akzeptiert oder nicht, da ich auch vorhabe ein Formular zu entwickeln. Ich bin leider nicht so Fit in der PHP Programmierung wie du
Mit Zitat antworten
  #8 (permalink)  
Alt 11-12-2004, 22:16
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von zabarax
Aber ok, wieso sollte ich dann überhaupt ein Forumular entwickeln, wenn mal ein paar scriptkidies versuchen mit ihrem eigenen auf mein Script zuzugreifen?
weil du das formular doch hoffentlich nicht zum reinen selbstzweck erstellen willst, sondern um damit eine bestimmte aufgabe zu erfüllen.
und wenn die erfüllung dieser aufgabe zweck des ganzen ist - ist es dann nicht eher nebensächlich, woher die daten kommen ...?

Zitat:
Ich habe keine Ahnung was so Kreterien sein können.
du hast doch bereits in der eingangsfrage ein solches genannt - du möchtest den upload von dateien nur bis zu einer bestimmten größe erlauben.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #9 (permalink)  
Alt 11-12-2004, 22:26
zabarax
 Junior Member
Links : Onlinestatus : zabarax ist offline
Registriert seit: Jan 2004
Beiträge: 80
zabarax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von wahsaga
weil du das formular doch hoffentlich nicht zum reinen selbstzweck erstellen willst, sondern um damit eine bestimmte aufgabe zu erfüllen.

Genau
z.B. ein Bild im Jpg format was kleiner als 2 MB ist.

Zitat:
Original geschrieben von wahsaga
und wenn die erfüllung dieser aufgabe zweck des ganzen ist - ist es dann nicht eher nebensächlich, woher die daten kommen ...?
Ja ok, da hast du recht. Solang es die Daten sind die ich haben möchte, ist es eigentlich egal woher sie kommen.

Zitat:
Original geschrieben von wahsaga
du hast doch bereits in der eingangsfrage ein solches genannt - du möchtest den upload von dateien nur bis zu einer bestimmten größe erlauben.
Also kann ich das mit dem hidden Feld mehr oder weniger vergessen? Es wäre dann wohl wesentlich besser, wenn ich den Wert aus einer DB jedes mal neu auslese, allerdings wird dann ja auch ein zusätzlicher Datenbankzugriff benötigt.
Mit Zitat antworten
  #10 (permalink)  
Alt 11-12-2004, 22:31
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Aber ok, wieso sollte ich dann überhaupt ein Forumular entwickeln, wenn mal ein paar scriptkidies versuchen mit ihrem eigenen auf mein Script zuzugreifen?
Kannst dem User natürlich auch sagen, er solle einfach ein Request mit folgenden Parametern (Variablen) an dein script senden Ob die kiddies jetzt mit eigenen forms oder mit deinem formular diesen request absenden, ist wie wahsaga gesagt hat ganz egal, hauptsache du hast dein ergebnis.

Aber überleg mal, warum die sich die mühe machen, ein eigenes formular zu erstellen. die wollen dich "hacken". Wenn du die ankommenden daten entsprechend abfragst, dann ist das nicht möglich. folglich ist auch das erstellen eines eigenen forms unnötig.

Wie gesagt, letztendlich ist es aber egal, vorallem weil du es ohnehin nicht kontrollieren kannst.

Zitat:
Ich habe keine Ahnung was so Kreterien sein können.
Dann brauchst du auch eigentlich keine angst haben, dass anere leute ihre eigenen formulare benutzen. allerdings solltest du dir dann gedanken machen, welchen sinn und zweck das ganze hat.

überleg doch mal, wenn du ein feld name hast, dann erwartest du wohl keine zahlen. und auch keinen text von 200 zeichen länge. wenn du das abfragst, dann bist du schon wesentlich sicherer, als wenn du dafür sorgen würdest(/könntest), dass der user dein formular benutzt.

rest überlegst du dir selber.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #11 (permalink)  
Alt 11-12-2004, 22:34
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
z.B. ein Bild im Jpg format was kleiner als 2 MB ist.
Aber woher es kommt, ist dir egal. hast du ja nun selbst eingesehen.

Zitat:
Also kann ich das mit dem hidden Feld mehr oder weniger vergessen? Es wäre dann wohl wesentlich besser, wenn ich den Wert aus einer DB jedes mal neu auslese, allerdings wird dann ja auch ein zusätzlicher Datenbankzugriff benötigt.
warum beharrst du darauf den wert aus der db auszulesen? den wert, den du im hiddenfeld platzierst, den liest du doch auch nicht aus, sondern knallst ihn hart in den HTML-Code rein. Warum nicht das gleiche mit dem PHP-Code machen. Wozu gibt es config-Dateien

BTW: dein hiddenfield wird sowieso nicht von jedem browser beachtet. kann aber zusätzlich eingesetzt werden.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #12 (permalink)  
Alt 11-12-2004, 22:47
zabarax
 Junior Member
Links : Onlinestatus : zabarax ist offline
Registriert seit: Jan 2004
Beiträge: 80
zabarax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ok, ich denke das Thema ist nun so weit klar, wenn noch was ist, melde ich mich dann nochmal. Danke für die vielen Antworten.
Mit Zitat antworten
  #13 (permalink)  
Alt 12-12-2004, 00:19
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von zabarax
...
Aber ok, wieso sollte ich dann überhaupt ein Forumular entwickeln, wenn mal ein paar scriptkidies versuchen mit ihrem eigenen auf mein Script zuzugreifen?
OffTopic:
kann es sein, dass du selbst einer bist
Mit Zitat antworten
  #14 (permalink)  
Alt 12-12-2004, 12:32
zabarax
 Junior Member
Links : Onlinestatus : zabarax ist offline
Registriert seit: Jan 2004
Beiträge: 80
zabarax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von asp2php
OffTopic:
kann es sein, dass du selbst einer bist
Nein, bestimmt nicht.
Mit Zitat antworten
  #15 (permalink)  
Alt 12-12-2004, 13:04
Abraxax
  THE REAL HAXE (Administrator)
Links : Onlinestatus : Abraxax ist offline
Registriert seit: Jul 2002
Ort: neuss.nrw.de
Beiträge: 22.623
Abraxax befindet sich auf einem aufstrebenden Ast
Standard

ich habe jetzt nicht alles gelesen .... aber, um das problem zu lösen, schlage ich sessions vor.

das formular erzeugt eine session und irgendwas bestimmtes wird in der session gespeichert.

das verarbeitende script startet auch ne session. wenn das bestimmt in der session enthalten ist, ist alles ok. wenn nicht, wurde das script von woanders her aufgerufen.

nur ein vorschlag zur problemlösung, wenn es überhaupt eines ist.
__________________
INFO: Erst suchen, dann posten! | MANUAL(s): PHP | MySQL | HTML/JS/CSS | NICE: GNOME Do | TESTS: Gästebuch | IM: Jabber.org |


Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

PHP Marktplatz-Software
PHP Marktplatz-SoftwareEs hat sich viel getan! Die neue Version 7.5.9 unserer PHP Marktplatz-Software ebiz-trader steht ab sofort zur Verfügung.

28.10.2019 | Berni

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni


 

Aktuelle PHP Scripte

SMT

Server Monitoring & Management Tool Das SMT wurde von einem Administrator für Administratoren entwickelt, es vereinfacht den Alltag in der klassischen Administration und Verwaltung. Mit dem SMT kannst Du alle Deine Server & Dienste verwalten und überwach

09.10.2020 palle_1977 | Kategorie: PHP
phplinX-Erotikportal 4 ansehen phplinX-Erotikportal 4

Erweiterbares Portal speziell für Erotik mit den Modulen Webkatalog, Bannermanagement und Kleinanzeigenmarkt. Sämtliche Module können über einen einzigen Adminbereich verwaltet werden.

18.06.2020 Cosinus14 | Kategorie: PHP/ Anzeigenmarkt
Erotik-Portal

Mit unsererem Erotik-Portal erhalten Sie ein komplettes Internetprojekt inklusive einer bedienerfreundlichem Administration sowie zahlreichen wichtigen Funktionen. Unser auf PHP und MySQL basierendes Script bietet Ihnen - und Ihren Besuchern - komfort

18.06.2020 ISD-Genthin | Kategorie: PHP/ Anzeigenmarkt
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 13:37 Uhr.