Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)
-   -   [PHP] Zuverlässigkeit des Referers? (https://www.delphipraxis.net/120219-%5Bphp%5D-zuverlaessigkeit-des-referers.html)

Matze 7. Sep 2008 08:19


[PHP] Zuverlässigkeit des Referers?
 
Hallo,

ich weiß, dass sich ein Referer ($_SERVER['HTTP_REFERER']) manipulieren lässt, mich würde dennoch interessieren, wie vertretbar es ist, diesen auszuwerten.
Ich möchte testen, ob der Referer meine Domain enthält, um eine kleine Überprüfung einzubauen, ob eine Aktion erlaubt ist. Das mache ich so:

Code:
$referer = isset($_SERVER['HTTP_REFERER']) ? strtolower($_SERVER['HTTP_REFERER']) : '';

if (!stristr($referer, 'http://' . $config['site_name_domain']) &&
   !stristr($referer, 'http://www.' . $config['site_name_domain']) &&
   !stristr($referer, 'http://localhost'))
{
   die('...');
}
else
{
   do_something();
}
Das Problem ist nun natürlich, dass im Falle eines leeren Referers auch "die()" ausgeführt wird.

Wie oft ist denn ein Referer leer, wenn man einen Link auf der eigenen Website anklickt?
Kann man so eine Überprüfung vertreten oder würde diese zu viele Besucher fehlerhaft erkennen?

Grüße

Balu der Bär 7. Sep 2008 08:33

Re: [PHP] Zuverlässigkeit des Referers?
 
Zitat:

Wie oft ist denn ein Referer leer, wenn man einen Link auf der eigenen Website anklickt?
Bei vielen Menschen ist der generell leer, geblockt durch Firewall oder sonstige Sicherheitstools.
Zitat:

Kann man so eine Überprüfung vertreten oder würde diese zu viele Besucher fehlerhaft erkennen?
Aufgrund von Aussage von oben würde ich mich nicht auf den Referer verlassen. ;)

Grüße

Matze 7. Sep 2008 08:47

Re: [PHP] Zuverlässigkeit des Referers?
 
Hi,

Firewalls blocken Referer, oha. Dann ist das natürlich nichts. Evtl. kann ich auch über die Sitzung gehen und dort die aktuelle Seite hinterlegen.

Dann werde ich mal in der Richtung was testen, danke.

Grüße

Edit: Wie sieht es denn mit $_SERVER['REDIRECT_URL'] aus? Besteht das Problem dort auch?

jfheins 7. Sep 2008 09:26

Re: [PHP] Zuverlässigkeit des Referers?
 
Zitat:

Zitat von Matze
Hi,

Firewalls blocken Referer, oha. Dann ist das natürlich nichts. Evtl. kann ich auch über die Sitzung gehen und dort die aktuelle Seite hinterlegen.

Das sollte inho die beste Lösung sein. Also am Ende sowas wie $_SESSION['last_page'] = $_SERVER['PHP_SELF'] .. ja, das kann man auch nur sehhhhhr schlecht nmanipulieren ^^

Zitat:

Edit: Wie sieht es denn mit $_SERVER['REDIRECT_URL'] aus? Besteht das Problem dort auch?
Das sollte vom Apache kommen, also nicht von firewalls behindert sein ... sollte also auch gehen (aber nur, wenn redirected wurde - baust du gerade deine Fehlerseiten neu?)

Siehe auch hier: http://bugs.php.net/bug.php?id=44105 ;)

Matze 7. Sep 2008 09:33

Re: [PHP] Zuverlässigkeit des Referers?
 
Hallo, danke.

Eigentlich benötige ich ja gar nicht die genaue URL. Ich setze einfach einen Session-Wert (=1), wenn man die Seite besucht. Ist dieser gesetzt, kommt man von der Seite, wenn nicht, dann nicht. Bei der Überprüfung lösche ich den Wert wieder, sofern er gesetzt war.
Der Schutz ist besser als gar keiner, auch wenn er nicht 100% sicher ist (gibt's eh nicht).

Zitat:

Zitat von jfheins
baust du gerade deine Fehlerseiten neu?

Nein, das ist für ein neues Projekt.

Grüße


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:59 Uhr.

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz