AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein PHP-Dateien vor direktem Aufruf im Browser schützen.
Thema durchsuchen
Ansicht
Themen-Optionen

PHP-Dateien vor direktem Aufruf im Browser schützen.

Ein Thema von Matze · begonnen am 25. Aug 2008 · letzter Beitrag vom 27. Aug 2008
Antwort Antwort
Seite 3 von 4     123 4      
Benutzerbild von SubData
SubData

Registriert seit: 14. Sep 2004
Ort: Stuhr
1.078 Beiträge
 
Delphi 11 Alexandria
 
#21

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 12:46
Evtl hilft auch das hier: http://de.wikipedia.org/wiki/Nofollow
Ronny
/(bb|[^b]{2})/
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#22

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 13:00
Ne, das bringt mir nichts, denn Bots finden diese links dennoch.
  Mit Zitat antworten Zitat
generic

Registriert seit: 24. Mär 2004
Ort: bei Hannover
2.416 Beiträge
 
Delphi XE5 Professional
 
#23

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 13:38
Es geht nicht, was du willst.

Fakten:
AJAX ist nichts anderes als eine Browseraufruf.
Deine Routinen müssen das Ziel kennen.
Dadurch muss das Ziel auch zum Client übertragen werden.
Alles was der Client hat, sieht und übertragen bekommt kann man sich anzeigen.
Im Zweifelsfall über Wireshark.

Schutzmechanismen kannst du aushebeln (sehr einfach sogar).
z.B. Browserstring verändern oder mit GreaceMoneky

Hier diese Spiel z.B. versucht das auch.
Leider erkennen die auch den Firefox als Hack:
http://battle.operation-universe.4pl...e/index_de.php
Coding BOTT - Video Tutorials rund um das Programmieren - https://www.youtube.com/@codingbott
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#24

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 13:56
Dass es nicht sicher funktioniert, weiß ich. Doch man kann versuchen, es Bots schwer zu machen und das könnte mit diesem Zufalls-String klappen.
Das ist genauso wie mit Crack-Schutz-Mechanismen bei Software.
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#25

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 13:59
Zitat von NamenLozer:
Seite aufrufen, ID abholen, AJAX-Seite mit ID aufrufen... Wirklich was gewonnen hast du dadurch nicht, außer, dass noch mehr Traffic erzeugt wird.
Falsch, der Browser macht naemlich nichts anderes wenn du das Prozedere durchfuehrst. Wenn ich Matze richtig verstanden hab, will er folgendes:
  • Seite foo.php wird aufgerufen, diese enthaelt einen AJAX-Link
  • Wird dieser AJAX-Link geklickt, wird bar.php im Hintergrund aufgerufen, und verarbeitet

Zu verhindern gilt der zweite Schritt, d.h. das "unbeabsichtigte" Aufrufen von bar.php (z.B. weil der Link in Google indiziert wurde und als Suchergebnis angezeigt wird). Das liesse sich mit einem OTP leicht loesen, schliesslich ist das in der Ergebnis-URL gespeicherte Passwort nicht mehr gueltig

Man muss an dieser Stelle aber auch sagen, dass das AJAX-Script (in diesem Fall bar.php) alle Kontrollen machen muss, d.h. ist der User eingeloggt? Darf er die Aktion ueberhaupt vornehmen? Sind die Parameter gueltig? Alles andere waere grob fahrlaessig, wenn nicht sogar dumm.

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Kalfany

Registriert seit: 28. Feb 2008
Ort: München
153 Beiträge
 
Delphi 2007 Professional
 
#26

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 14:16
Hallo,

ich habe vor einiger zeit sowas ähnliches gebraucht und zwar sollten zip / rar datein nur von einem PHP script aufgerufen (und ausgeliefert) werden.

.htaccess
Code:
Options +FollowSymlinks -MultiViews -Indexes
CheckSpelling Off

RewriteEngine on
RewriteBase /

RewriteCond %{HTTP_REFERER} !^http://(www\.)?domain\.de/(.*)\.php$ [NC]
RewriteRule (.*)\.(RAR|ZIP)$ - [F]
evtl. funktioniert das ja für dich. erklärungen zu den einzelnen kommandos gibts auf der apache seite in der doku
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#27

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 14:22
@Andy: Die Gültigkeit überprüfe ich selbstverständlich in der PHP-Datei.
@Kalfany: Das funktioniert in meinem Fall leider nicht, dass der direkte Aufruf über das JS möglich sein sollte.
  Mit Zitat antworten Zitat
tr909

Registriert seit: 5. Nov 2004
193 Beiträge
 
Turbo Delphi für Win32
 
#28

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 14:36
http://www.andreas-puls.de/2007/08/0...eferrer-check/
Code:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://www.meine-domain.de/.*$ [NC]
RewriteRule ^skript.php$ [F]

# optional für Dateiendungen

RewriteRule .(jpe?g|gif|bmp|png)$ - [F]
Somit wäre das Script mir namen "skript.php" nur über die Seite selbst aufrufbar.

Leider dürfte dann der Zugriff per Ajax nicht mehr nöglich sein.
Dafür hätte ich folgende Lösung. Dafür braucht man dann noch ein Ersatzscript das das eigentliche Script aufruft.
Das Ajax-Script ruft vorher ein php-script auf, das z.B. die IP und anderes speichert.
Beim Aufruf ddes "Ersatzscripts" wird geprüft ob es für diese IP einen Eintrag gibt, läuft durch und löscht den Eintrag wieder.
Am bsten per Timestamp nen ablaufdatum einbauen. Das die beiden scripte ja direkt nacheinander ausgeführt werden reicht ja ne gültigkeit im Sekundenbereich.

Gruß
tr909
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#29

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 15:57
Danke für deinen Vorschlag. Dann würde ich jedoch den Bots das Ersatzskript präsentieren und wäre da, wo ich vorhin auch war.

Ich denke, ich teste gegen später die Lösung mit dem Zufalls-String.

Grüße
  Mit Zitat antworten Zitat
Benutzerbild von SubData
SubData

Registriert seit: 14. Sep 2004
Ort: Stuhr
1.078 Beiträge
 
Delphi 11 Alexandria
 
#30

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 16:19
Code:
<FORM METHOD="POST">
 
</FORM>
Wenn du Daten mit POST an den Server schickst, werden diese Daten von Bots ignoriert.

Und die Bots, die das nicht ignorieren, sind darauf ausgelegt nicht erkannt zu werden (Spam Bots).
Ronny
/(bb|[^b]{2})/
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 3 von 4     123 4      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:49 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz