Zugriff auf best. Url's begrenzen

dr.scoop · 04.01.2012, 10:38

Hallo Leute,

Ich bin ein Netzwerk, Grafik und flash-Kind, und habe leider keine umfangreichen php Kenntnisse.

Mein Problem:

ich benutze eine proxy.php, um meinen flash-player mit covers von amazon und itunes zu füttern, wegen der crossdomain-policy von flash.

das funktioniert soweit gut.
nun hat sich mein hoster gemeldet, und schreit nach sicherheit bezüglich des proxy-scriptes, und verlangt, dass ich das soweit absichere.

mit "mime_content_type" funktioniert das leider nicht, da ich das bild als url-string übergebe, und nicht als bild.

Meine Frage:
Wie kann ich das soweit einschränken, dass es nur die beiden API's von amazon und itunes zulässt?

_________________

amazon API: http://www.amazon.de/gp/product/...
itunes API: http://ax.phobos.apple.com.edgesuite...wsSearch?term=...

Ausgabe meines proxy-scriptes:

PHP-Code:

  echo "&interpret=$artist&titel=$title&bitrate=".trim($b it[0])."&genre=".trim($gen[0])."&name=".trim($na[0])."&url=".trim($url[0])."&cover=".trim($artwork)."&link=".trim($new_url) ."&status=$status&zae=$zae&";
}else{
echo "&interpret=$artist&titel=$title&";
echo "$iturl";
echo "$new_url";
}

url zum player:
http://webplayer.radiocentral.ch/test
Beitrag bearbeiten/löschen

dr.scoop · 04.01.2012, 15:22

also kurz zu dem, was ich inzwischen versucht hab...

dr.scoop · 04.01.2012, 15:38

mein orig proxy.php

PHP-Code:

  <?php
$post_data = $HTTP_RAW_POST_DATA;
$header[] = "Content-type: text/xml";
$header[] = "Content-length: ".strlen($post_data);
$ch = curl_init($_GET['url']); 
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_TIMEOUT, 10);
curl_setopt($ch, CURLOPT_HTTPHEADER, $header);
if ( strlen($post_data)>0 ){
    curl_setopt($ch, CURLOPT_POST, 1);
    curl_setopt($ch, CURLOPT_POSTFIELDS, $post_data);
}
echo $response = curl_exec($ch);
?>

die abgeänderte version, in welcher ich versucht hab, die url's einzugrenzen (ohne erfolg)

PHP-Code:

  <?php
$allowedurl = array(
    "http://www.amazon.de","http://ax.phobos.apple.com.edgesuite.net"
);

$request = $_SERVER['QUERY_STRING'];
$uriParts = parse_url($request);

if(in_array($uriParts['host'], $allowedurl)) {
    exit("Url {$request} not allowed!");
}


$post_data = $HTTP_RAW_POST_DATA;
$header = array(
    "Content-type: text/xml",
    "Content-length: " . strlen($post_data),
);

$ch = curl_init($request);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_TIMEOUT, 10);
curl_setopt($ch, CURLOPT_HTTPHEADER, $header);
if(!empty($post_data)){
  curl_setopt($ch, CURLOPT_POST, 1);
  curl_setopt($ch, CURLOPT_POSTFIELDS, $post_data);
}
echo $response = curl_exec($ch);

das ganze setzt sich folgendermassen zusammen:
flash-player -> spielt shoutcast-streams mit coveranzeige. die covers kommen entweder aus dem amazon-API rep. apple-API
proxy.php -> dient ansich "nur" dazu, dass die bild-url's wegen der "crossdomain-restriktionen" an flash weitergegeben werden können.

cover.php -> ist leider nicht von mir, deswegen darf ich die nicht veröffentlichen, doch dort passiert das wesentliche (ausserhalb von flash), die abfrage von den shoutcast servern, den aufruf der API's mit der antwort einer bild-url.

sagt mir doch bitte, was ihr noch wissen müsst, denn ich hab kaum einen plan.

dsentker · 04.01.2012, 15:42

Wenn du schon meine Idee verwendest, dann doch bitte richtig (allowed-Array ohne http-Gedöns). Kein Wunder dass es dann nicht funktioniert.

nikosch · 04.01.2012, 15:45

Na super.

Bitte beachten: Anmerkungen zu Crosspostings

http://phpforum.de/forum/showthread.php?t=267502

[MOD: Thread geschlossen]

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
phpmyadmin Zugriff verweigern	puwu	PHP Einsteiger	6	08.02.2011 22:50
Wenn ich PHP-Modus beende und neu öffne, kein Zugriff mehr auf Objekt	miara	PHP Tipps 2010	5	25.06.2010 22:44
URLs erzeugen und routen	fat32	Software-Design	5	25.10.2009 19:54
[Erledigt] Zugriff auf DOM, inkl. CSS	joux	PHP Tipps 2009	7	24.07.2009 18:42
zugriff auf mysql von aussen.	nieselfriem	Datenbanken	7	25.12.2008 22:00
mod_rewrite Problem mit encodierten URLs	R4v3r	Server, Hosting und Workstations	0	25.07.2008 18:42
Zugriff mit session auf Ordner begrenzen	Diego1978	PHP Tipps 2008	1	08.07.2008 06:38
Zugriff beschränken	paper	PHP Tipps 2008	9	04.05.2008 12:13
Zugriff verweigert...?	amenhotheb	PHP Tipps 2006	4	11.07.2006 16:23
Zugriff auf postgresql-db mit php		PHP Tipps 2006	6	25.01.2006 09:29
gleichzeitiger Zugriff auf 2 Datenbanken	dh1sbg	PHP-Fortgeschrittene	3	27.12.2005 12:41
Wie Ordner und Inhalt vor unberechtigten Zugriff schützen	Riot	PHP Tipps 2005-2	30	06.10.2005 21:18
[Erledigt] Button an best Tagen zu best. Uhrzeiten wechseln lassen		PHP Tipps 2005-2	3	30.07.2005 12:52
Probleme mit Urls und Dom KLasse.	daniel987	PHP Tipps 2005-2	3	22.07.2005 15:17
Suchmuster für URLs		PHP Tipps 2004	2	21.10.2004 08:06

04.01.2012, 10:38
dr.scoop Neuer Benutzer Registriert seit: 04.01.2012 Beiträge: 3 PHP-Kenntnisse: Anfänger	Zugriff auf best. Url's begrenzen Hallo Leute, Ich bin ein Netzwerk, Grafik und flash-Kind, und habe leider keine umfangreichen php Kenntnisse. Mein Problem: ich benutze eine proxy.php, um meinen flash-player mit covers von amazon und itunes zu füttern, wegen der crossdomain-policy von flash. das funktioniert soweit gut. nun hat sich mein hoster gemeldet, und schreit nach sicherheit bezüglich des proxy-scriptes, und verlangt, dass ich das soweit absichere. mit "mime_content_type" funktioniert das leider nicht, da ich das bild als url-string übergebe, und nicht als bild. Meine Frage: Wie kann ich das soweit einschränken, dass es nur die beiden API's von amazon und itunes zulässt? _________________ amazon API: http://www.amazon.de/gp/product/... itunes API: http://ax.phobos.apple.com.edgesuite...wsSearch?term=... Ausgabe meines proxy-scriptes: PHP-Code: `echo "&interpret=$artist&titel=$title&bitrate=".trim($b it[0])."&genre=".trim($gen[0])."&name=".trim($na[0])."&url=".trim($url[0])."&cover=".trim($artwork)."&link=".trim($new_url) ."&status=$status&zae=$zae&"; }else{ echo "&interpret=$artist&titel=$title&"; echo "$iturl"; echo "$new_url"; }` url zum player: http://webplayer.radiocentral.ch/test Beitrag bearbeiten/löschen


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

04.01.2012, 15:22
dr.scoop Neuer Benutzer Registriert seit: 04.01.2012 Beiträge: 3 PHP-Kenntnisse: Anfänger	also kurz zu dem, was ich inzwischen versucht hab...

04.01.2012, 15:38
dr.scoop Neuer Benutzer Registriert seit: 04.01.2012 Beiträge: 3 PHP-Kenntnisse: Anfänger	mein orig proxy.php PHP-Code: `<?php $post_data = $HTTP_RAW_POST_DATA; $header[] = "Content-type: text/xml"; $header[] = "Content-length: ".strlen($post_data); $ch = curl_init($_GET['url']); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch, CURLOPT_TIMEOUT, 10); curl_setopt($ch, CURLOPT_HTTPHEADER, $header); if ( strlen($post_data)>0 ){ curl_setopt($ch, CURLOPT_POST, 1); curl_setopt($ch, CURLOPT_POSTFIELDS, $post_data); } echo $response = curl_exec($ch); ?>` die abgeänderte version, in welcher ich versucht hab, die url's einzugrenzen (ohne erfolg) PHP-Code: <?php $allowedurl = array( "http://www.amazon.de","http://ax.phobos.apple.com.edgesuite.net" ); $request = $_SERVER['QUERY_STRING']; $uriParts = parse_url($request); if(in_array($uriParts['host'], $allowedurl)) { exit("Url {$request} not allowed!"); } $post_data = $HTTP_RAW_POST_DATA; $header = array( "Content-type: text/xml", "Content-length: " . strlen($post_data), ); $ch = curl_init($request); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch, CURLOPT_TIMEOUT, 10); curl_setopt($ch, CURLOPT_HTTPHEADER, $header); if(!empty($post_data)){ curl_setopt($ch, CURLOPT_POST, 1); curl_setopt($ch, CURLOPT_POSTFIELDS, $post_data); } echo $response = curl_exec($ch); das ganze setzt sich folgendermassen zusammen: flash-player -> spielt shoutcast-streams mit coveranzeige. die covers kommen entweder aus dem amazon-API rep. apple-API proxy.php -> dient ansich "nur" dazu, dass die bild-url's wegen der "crossdomain-restriktionen" an flash weitergegeben werden können. cover.php -> ist leider nicht von mir, deswegen darf ich die nicht veröffentlichen, doch dort passiert das wesentliche (ausserhalb von flash), die abfrage von den shoutcast servern, den aufruf der API's mit der antwort einer bild-url. sagt mir doch bitte, was ihr noch wissen müsst, denn ich hab kaum einen plan.

04.01.2012, 15:42
dsentker Erfahrener Benutzer Registriert seit: 26.11.2008 Beiträge: 264	Wenn du schon meine Idee verwendest, dann doch bitte richtig (allowed-Array ohne http-Gedöns). Kein Wunder dass es dann nicht funktioniert. __________________

04.01.2012, 15:45
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Na super. Bitte beachten: Anmerkungen zu Crosspostings http://phpforum.de/forum/showthread.php?t=267502 [MOD: Thread geschlossen] __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --