AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein [PHP] Zuverlässigkeit des Referers?
Thema durchsuchen
Ansicht
Themen-Optionen

[PHP] Zuverlässigkeit des Referers?

Ein Thema von Matze · begonnen am 7. Sep 2008 · letzter Beitrag vom 7. Sep 2008
Antwort Antwort
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#1

[PHP] Zuverlässigkeit des Referers?

  Alt 7. Sep 2008, 09:19
Hallo,

ich weiß, dass sich ein Referer ($_SERVER['HTTP_REFERER']) manipulieren lässt, mich würde dennoch interessieren, wie vertretbar es ist, diesen auszuwerten.
Ich möchte testen, ob der Referer meine Domain enthält, um eine kleine Überprüfung einzubauen, ob eine Aktion erlaubt ist. Das mache ich so:

Code:
$referer = isset($_SERVER['HTTP_REFERER']) ? strtolower($_SERVER['HTTP_REFERER']) : '';

if (!stristr($referer, 'http://' . $config['site_name_domain']) &&
   !stristr($referer, 'http://www.' . $config['site_name_domain']) &&
   !stristr($referer, 'http://localhost'))
{
   die('...');
}
else
{
   do_something();
}
Das Problem ist nun natürlich, dass im Falle eines leeren Referers auch "die()" ausgeführt wird.

Wie oft ist denn ein Referer leer, wenn man einen Link auf der eigenen Website anklickt?
Kann man so eine Überprüfung vertreten oder würde diese zu viele Besucher fehlerhaft erkennen?

Grüße
  Mit Zitat antworten Zitat
Balu der Bär
(Gast)

n/a Beiträge
 
#2

Re: [PHP] Zuverlässigkeit des Referers?

  Alt 7. Sep 2008, 09:33
Zitat:
Wie oft ist denn ein Referer leer, wenn man einen Link auf der eigenen Website anklickt?
Bei vielen Menschen ist der generell leer, geblockt durch Firewall oder sonstige Sicherheitstools.
Zitat:
Kann man so eine Überprüfung vertreten oder würde diese zu viele Besucher fehlerhaft erkennen?
Aufgrund von Aussage von oben würde ich mich nicht auf den Referer verlassen.

Grüße
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#3

Re: [PHP] Zuverlässigkeit des Referers?

  Alt 7. Sep 2008, 09:47
Hi,

Firewalls blocken Referer, oha. Dann ist das natürlich nichts. Evtl. kann ich auch über die Sitzung gehen und dort die aktuelle Seite hinterlegen.

Dann werde ich mal in der Richtung was testen, danke.

Grüße

Edit: Wie sieht es denn mit $_SERVER['REDIRECT_URL'] aus? Besteht das Problem dort auch?
  Mit Zitat antworten Zitat
Benutzerbild von jfheins
jfheins

Registriert seit: 10. Jun 2004
Ort: Garching (TUM)
4.579 Beiträge
 
#4

Re: [PHP] Zuverlässigkeit des Referers?

  Alt 7. Sep 2008, 10:26
Zitat von Matze:
Hi,

Firewalls blocken Referer, oha. Dann ist das natürlich nichts. Evtl. kann ich auch über die Sitzung gehen und dort die aktuelle Seite hinterlegen.
Das sollte inho die beste Lösung sein. Also am Ende sowas wie $_SESSION['last_page'] = $_SERVER['PHP_SELF'] .. ja, das kann man auch nur sehhhhhr schlecht nmanipulieren ^^

Zitat:
Edit: Wie sieht es denn mit $_SERVER['REDIRECT_URL'] aus? Besteht das Problem dort auch?
Das sollte vom Apache kommen, also nicht von firewalls behindert sein ... sollte also auch gehen (aber nur, wenn redirected wurde - baust du gerade deine Fehlerseiten neu?)

Siehe auch hier: http://bugs.php.net/bug.php?id=44105
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#5

Re: [PHP] Zuverlässigkeit des Referers?

  Alt 7. Sep 2008, 10:33
Hallo, danke.

Eigentlich benötige ich ja gar nicht die genaue URL. Ich setze einfach einen Session-Wert (=1), wenn man die Seite besucht. Ist dieser gesetzt, kommt man von der Seite, wenn nicht, dann nicht. Bei der Überprüfung lösche ich den Wert wieder, sofern er gesetzt war.
Der Schutz ist besser als gar keiner, auch wenn er nicht 100% sicher ist (gibt's eh nicht).

Zitat von jfheins:
baust du gerade deine Fehlerseiten neu?
Nein, das ist für ein neues Projekt.

Grüße
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:51 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz