Auf fremde Webserver mit eigenen Formularen zugreifen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Auf fremde Webserver mit eigenen Formularen zugreifen

    Hallo bei Forumularen werden ja Variablen an PHP übergeben.
    Dabei können Probleme entstehen.

    Ein Beispiel:
    Bei eienm Uploadformular wird die Dateigröße ja meistens in einem hidden Textfeld übergeben, da das ganze dann auch ohne DB funktioniert.
    Was kann man dagegen unternehmen, dass sich nicht jemand ein eignes Forumular bastelt und dann die Maximale Dateigröße heraufsetzt?
    Gibt es also eine Technik die man anwenden kann um nur Daten vom eigenen Formular zu akzeptieren?
    z.B. den Referer checken?
    PS: Mir ist schon klar, das es in PHP eine Variable gibt, die die maximale Größe von Dateien bestimmt und die sich nicht manipulieren läßt

  • #2
    Bei eienm Uploadformular wird die Dateigröße ja meistens in einem hidden Textfeld übergeben, da das ganze dann auch ohne DB funktioniert.
    Unsinn!

    Ich sag nur never trust incomeing data. Was du daraus machst ist dir selbst überlassen. Aber wenn du dein PHP-Script auf "fremde" daten stützt, dann bist du selbst schuld!

    Kommentar


    • #3
      Original geschrieben von TobiaZ
      Unsinn!
      Soll das also heißen, du würdest auf jeden Fall die Dateigröße nicht über ein Hidden Atribut übergeben, sondern aus einer DB oder Textdatei oder sonst irgendwas lesen?
      In dem Tutorial auf diese Webseite wird auch ein hidden Feld benutzt.

      Original geschrieben von TobiaZ
      Ich sag nur never trust incomeing data. Was du daraus machst ist dir selbst überlassen.
      Und wie realisiert man so was?
      Wenn du generell keinen Daten traust, die von deinem Formular stammen, hat das Formular wohl auch keinen Zweck.

      Original geschrieben von TobiaZ
      Aber wenn du dein PHP-Script auf "fremde" daten stützt, dann bist du selbst schuld!
      Wie mache ich es denn, das niemand von fremden Seiten Daten an mein Formular senden darf?
      Die Varaiblennamen sind doch aus dem Quelletext des Formulars zu erkennen.

      Kommentar


      • #4
        Original geschrieben von zabarax
        Wenn du generell keinen Daten traust, die von deinem Formular stammen, hat das Formular wohl auch keinen Zweck.
        doch, natürlich.

        vertrauen ist gut, kontrolle ist besser findet auch hier anwendung.

        Wie mache ich es denn, das niemand von fremden Seiten Daten an mein Formular senden darf?
        warum sollte das niemand dürfen?

        woher die daten kommen, ist vollkommen unerheblich.

        das einzig wichtige ist, ob sie deine kriterien erfüllen, oder nicht. wenn ja, nimmst du die daten an, wenn nicht, weißt du sie ab.
        I don't believe in rebirth. Actually, I never did in my whole lives.

        Kommentar


        • #5
          Original geschrieben von wahsaga
          warum sollte das niemand dürfen?
          ich will, das die Leute dann mein eigenes Formular benutzen und sich nicht selbst eins stricken und dann auf ihren Server laden und mir die Daten dann schicken.
          OK, es geht auch einfacher, sie müßen ja nur ein Formular basteln, die Variablen so nennen wie ich und im action den Pfad zu meinem auswertescript setzten.

          Original geschrieben von wahsaga
          woher die daten kommen, ist vollkommen unerheblich.
          Mag sein, aber mir wäre es am liebsten wenn keiner auf die Idee kommen würde und sich selbst ein Formular bastelt.

          Original geschrieben von wahsaga
          das einzig wichtige ist, ob sie deine kriterien erfüllen, oder nicht. wenn ja, nimmst du die daten an, wenn nicht, weißt du sie ab. [/B]
          Und was sind sind die Kreterien in deinem Fall?

          zabarax

          Kommentar


          • #6
            ich will, das die Leute dann mein eigenes Formular benutzen und sich nicht selbst eins stricken und dann auf ihren Server laden und mir die Daten dann schicken.

            [...]


            Mag sein, aber mir wäre es am liebsten wenn keiner auf die Idee kommen würde und sich selbst ein Formular bastelt.
            Und warum,willst du das? Wahsaga hatte da doch grad erst was zu geschrieben.

            Und was sind sind die Kreterien in deinem Fall?
            Kann dir doch egal sein, wahsaga hat sicher andere!

            Kommentar


            • #7
              Original geschrieben von TobiaZ
              Und warum,willst du das? Wahsaga hatte da doch grad erst was zu geschrieben.
              und ich habe auch darauf geantwortet.
              Aber ok, wieso sollte ich dann überhaupt ein Forumular entwickeln, wenn mal ein paar scriptkidies versuchen mit ihrem eigenen auf mein Script zuzugreifen?

              Original geschrieben von TobiaZ
              Kann dir doch egal sein, wahsaga hat sicher andere! [/B]
              Ich habe keine Ahnung was so Kreterien sein können.
              Es hat mich nur interessiert, nach welchen Kreterien man Daten akzeptiert oder nicht, da ich auch vorhabe ein Formular zu entwickeln. Ich bin leider nicht so Fit in der PHP Programmierung wie du

              Kommentar


              • #8
                Original geschrieben von zabarax
                Aber ok, wieso sollte ich dann überhaupt ein Forumular entwickeln, wenn mal ein paar scriptkidies versuchen mit ihrem eigenen auf mein Script zuzugreifen?
                weil du das formular doch hoffentlich nicht zum reinen selbstzweck erstellen willst, sondern um damit eine bestimmte aufgabe zu erfüllen.
                und wenn die erfüllung dieser aufgabe zweck des ganzen ist - ist es dann nicht eher nebensächlich, woher die daten kommen ...?

                Ich habe keine Ahnung was so Kreterien sein können.
                du hast doch bereits in der eingangsfrage ein solches genannt - du möchtest den upload von dateien nur bis zu einer bestimmten größe erlauben.
                I don't believe in rebirth. Actually, I never did in my whole lives.

                Kommentar


                • #9
                  Original geschrieben von wahsaga
                  weil du das formular doch hoffentlich nicht zum reinen selbstzweck erstellen willst, sondern um damit eine bestimmte aufgabe zu erfüllen.

                  Genau
                  z.B. ein Bild im Jpg format was kleiner als 2 MB ist.

                  Original geschrieben von wahsaga
                  und wenn die erfüllung dieser aufgabe zweck des ganzen ist - ist es dann nicht eher nebensächlich, woher die daten kommen ...?
                  Ja ok, da hast du recht. Solang es die Daten sind die ich haben möchte, ist es eigentlich egal woher sie kommen.

                  Original geschrieben von wahsaga
                  du hast doch bereits in der eingangsfrage ein solches genannt - du möchtest den upload von dateien nur bis zu einer bestimmten größe erlauben.
                  Also kann ich das mit dem hidden Feld mehr oder weniger vergessen? Es wäre dann wohl wesentlich besser, wenn ich den Wert aus einer DB jedes mal neu auslese, allerdings wird dann ja auch ein zusätzlicher Datenbankzugriff benötigt.

                  Kommentar


                  • #10
                    Aber ok, wieso sollte ich dann überhaupt ein Forumular entwickeln, wenn mal ein paar scriptkidies versuchen mit ihrem eigenen auf mein Script zuzugreifen?
                    Kannst dem User natürlich auch sagen, er solle einfach ein Request mit folgenden Parametern (Variablen) an dein script senden Ob die kiddies jetzt mit eigenen forms oder mit deinem formular diesen request absenden, ist wie wahsaga gesagt hat ganz egal, hauptsache du hast dein ergebnis.

                    Aber überleg mal, warum die sich die mühe machen, ein eigenes formular zu erstellen. die wollen dich "hacken". Wenn du die ankommenden daten entsprechend abfragst, dann ist das nicht möglich. folglich ist auch das erstellen eines eigenen forms unnötig.

                    Wie gesagt, letztendlich ist es aber egal, vorallem weil du es ohnehin nicht kontrollieren kannst.

                    Ich habe keine Ahnung was so Kreterien sein können.
                    Dann brauchst du auch eigentlich keine angst haben, dass anere leute ihre eigenen formulare benutzen. allerdings solltest du dir dann gedanken machen, welchen sinn und zweck das ganze hat.

                    überleg doch mal, wenn du ein feld name hast, dann erwartest du wohl keine zahlen. und auch keinen text von 200 zeichen länge. wenn du das abfragst, dann bist du schon wesentlich sicherer, als wenn du dafür sorgen würdest(/könntest), dass der user dein formular benutzt.

                    rest überlegst du dir selber.

                    Kommentar


                    • #11
                      z.B. ein Bild im Jpg format was kleiner als 2 MB ist.
                      Aber woher es kommt, ist dir egal. hast du ja nun selbst eingesehen.

                      Also kann ich das mit dem hidden Feld mehr oder weniger vergessen? Es wäre dann wohl wesentlich besser, wenn ich den Wert aus einer DB jedes mal neu auslese, allerdings wird dann ja auch ein zusätzlicher Datenbankzugriff benötigt.
                      warum beharrst du darauf den wert aus der db auszulesen? den wert, den du im hiddenfeld platzierst, den liest du doch auch nicht aus, sondern knallst ihn hart in den HTML-Code rein. Warum nicht das gleiche mit dem PHP-Code machen. Wozu gibt es config-Dateien

                      BTW: dein hiddenfield wird sowieso nicht von jedem browser beachtet. kann aber zusätzlich eingesetzt werden.

                      Kommentar


                      • #12
                        Ok, ich denke das Thema ist nun so weit klar, wenn noch was ist, melde ich mich dann nochmal. Danke für die vielen Antworten.

                        Kommentar


                        • #13
                          Original geschrieben von zabarax
                          ...
                          Aber ok, wieso sollte ich dann überhaupt ein Forumular entwickeln, wenn mal ein paar scriptkidies versuchen mit ihrem eigenen auf mein Script zuzugreifen?
                          OffTopic:
                          kann es sein, dass du selbst einer bist

                          Kommentar


                          • #14
                            Original geschrieben von asp2php
                            OffTopic:
                            kann es sein, dass du selbst einer bist
                            Nein, bestimmt nicht.

                            Kommentar


                            • #15
                              ich habe jetzt nicht alles gelesen .... aber, um das problem zu lösen, schlage ich sessions vor.

                              das formular erzeugt eine session und irgendwas bestimmtes wird in der session gespeichert.

                              das verarbeitende script startet auch ne session. wenn das bestimmt in der session enthalten ist, ist alles ok. wenn nicht, wurde das script von woanders her aufgerufen.

                              nur ein vorschlag zur problemlösung, wenn es überhaupt eines ist.
                              INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


                              Kommentar

                              Lädt...
                              X