Hallo,

ich weiß, dass sich ein Referer ($_SERVER['HTTP_REFERER']) manipulieren lässt, mich würde dennoch interessieren, wie vertretbar es ist, diesen auszuwerten.
Ich möchte testen, ob der Referer meine Domain enthält, um eine kleine Überprüfung einzubauen, ob eine Aktion erlaubt ist. Das mache ich so:

Das Problem ist nun natürlich, dass im Falle eines leeren Referers auch "die()" ausgeführt wird.

Wie oft ist denn ein Referer leer, wenn man einen Link auf der eigenen Website anklickt?
Kann man so eine Überprüfung vertreten oder würde diese zu viele Besucher fehlerhaft erkennen?

Grüße

Bei vielen Menschen ist der generell leer, geblockt durch Firewall oder sonstige Sicherheitstools.
Aufgrund von Aussage von oben würde ich mich nicht auf den Referer verlassen.

Grüße

Hi,

Firewalls blocken Referer, oha. Dann ist das natürlich nichts. Evtl. kann ich auch über die Sitzung gehen und dort die aktuelle Seite hinterlegen.

Dann werde ich mal in der Richtung was testen, danke.

Grüße

Edit: Wie sieht es denn mit $_SERVER['REDIRECT_URL'] aus? Besteht das Problem dort auch?

Das sollte inho die beste Lösung sein. Also am Ende sowas wie $_SESSION['last_page'] = $_SERVER['PHP_SELF'] .. ja, das kann man auch nur sehhhhhr schlecht nmanipulieren ^^

Das sollte vom Apache kommen, also nicht von firewalls behindert sein ... sollte also auch gehen (aber nur, wenn redirected wurde - baust du gerade deine Fehlerseiten neu?)

Siehe auch hier: http://bugs.php.net/bug.php?id=44105

Hallo, danke.

Eigentlich benötige ich ja gar nicht die genaue URL. Ich setze einfach einen Session-Wert (=1), wenn man die Seite besucht. Ist dieser gesetzt, kommt man von der Seite, wenn nicht, dann nicht. Bei der Überprüfung lösche ich den Wert wieder, sofern er gesetzt war.
Der Schutz ist besser als gar keiner, auch wenn er nicht 100% sicher ist (gibt's eh nicht).

Nein, das ist für ein neues Projekt.

Grüße