$_POST nur vom eigenen Server zulassen

tekknotrip · 18.05.2006, 12:13

Hallo, ich habe das Forum hier durchforstet, allerdings zu keinem Schluß bei diesem Thema gekommen.

register_globals off

Habe ein <option> Formular, mit dem diverse Werte übergeben werden per POST. Nun nutzen das aber auch Fremde Seiten, die das nachbauen und eben diese $_POST Daten "verfälschen".

Jetzt könnte ich ja hergehen und $_SERVER['HTTP_REFERER'] überprüfen, aber ich habe ca. 20 Domains, was auch den Rahmen der Pflegbarkeit sprengen würde bei allen Formularen das immer wieder zu pflegen.

Kann man PHP nicht einfach sagen:
$_POST darf nur vom eigenen Server kommen?

Für Tipps und Hinweise (auch im Netz) wäre ich dankbar

KingCrunch · 18.05.2006, 12:16

Schonma versucht HTTP_REFERER mit SERVERNAME zu vergleichen?

tekknotrip · 18.05.2006, 12:33

Hallo, ja das ist ja mein Problem.
Ich habe 20 Domains, von denen das in etwa aufgerufen werden kann, sprich der REFERER kann zwar der richtige sein (also von mir), der passt aber nicht mit dem definierten SERVER_NAME zusammen

KingCrunch · 18.05.2006, 12:38

Es gab zumindest eine Möglichkeit den Host des aktuellen Scripts rauszuziehen. Das dürfte auch nicht schwer sein. Durchforste mal im Manuel die $_SERVER-Variable...

M3g4Star · 18.05.2006, 12:46

Also jetzt spontan fällt mir da mal

http://de2.php.net/manual/de/languag...predefined.php

das ein ... Mit "__FILE__" könntest vllt das erreichen was du willst

Ansonsten : http://de3.php.net/manual/en/reserve...riables.server

Aber da solltest aufpassen denn Referer würd ich nicht benutzen:
http://faq-phpfriend.de/q/q-http-referer.html

tekknotrip · 18.05.2006, 12:50

Ahh, danke...das hilft mir schon alles weiter

Jetzt muss ich nur ncoh am richtigen Punkt loslegen

Zitat:

'REMOTE_HOST'

Der Hostname des Servers, von dem die aktuelle Seite geladen wurde. Der reverse dns lookup basiert auf dem REMOTE_ADDR-Header.

Anmerkung: Um diese Variable zu erzeugen, muss Ihr Webserver entsprechend eingestellt sein. Zum Beispiel muss beim Apache HostnameLookups On in der httpd.conf aktiv sein. Siehe auch unter gethostbyaddr().

KingCrunch · 18.05.2006, 13:00

Is __FILE__ nicht die Datei im lokalen Dateisystem? Bin grad auch zu faul nachzuschaun ^^

M3g4Star · 18.05.2006, 13:01

Zitat:

Zitat von manual

__FILE__

Der vollständige Pfad- und Dateiname einer Datei. Wird diese Konstante innerhalb einer Datei, die mit include() eingebunden wurde, verwendet, wird der Name der eingebundenen Datei zurückgegeben.

Zu faul um auf meinen Link zu klicken

*tsssssss*

tekknotrip · 18.05.2006, 13:12

Das funktioniert leider alles nicht so recht, da ich immer letztenendes auf den referer angewiesen bin, um vergleiche anzustellen.

Habe nun aber was gelesen, was ich nicht verstehe:

Zitat:

Falls die Direktive register_globals gesetzt ist, sind diese Variablen auch im globalen Sichbarkeitsbereich eines Skripts verfügbar, d.h., unabhängig von den $_POST und $HTTP_POST_VARS Arrays. Lesen Sie für weitere Informationen das Kapitel über Sicherheit Verwendung von Register Globals. Diese individuellen globalen Variablen sind nicht automatisch global.

So, wenn die register_globals off sind, dann ists doch eigentlich Essig mit POST Daten von fremden Servern oder hab ich da was falsch verstanden?

KingCrunch · 18.05.2006, 13:13

Ja, war grad auffn Weg zu Dusche, da kann ein Link echt nur behindern

Aber: Hatte recht! __FILE__ bezeichnet die Datei im lokalen Dateisystem, was ein auf der Suche nach dem aktuellen Host allerdings kein Stück näher bringt ... :P

Problem: Ich hab nur eine Domain und ansonsten da auch eher ma rudimentär drüber geschaut. Was ist mit HTTP_HOST? Kann man den anständig mit HTTP_REFERER vergleichen, oder landet da auch wieder nur die "Hauptdomain"?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] WAMP unter Windows 2000 Server oder Windows 2003 Server	Mecronomecon	Server, Hosting und Workstations	3	18.06.2008 09:15
[Erledigt] Server durchsuchen mit php		PHP Tipps 2008	7	18.08.2007 12:24
Mysql Server Einstellunen Optimieren	pchero	Datenbanken	3	01.05.2007 19:50
Server für shell_exec() / exec() vorbereiten	Martek	Server, Hosting und Workstations	2	16.03.2007 15:03
streaming von videos, server lahmt bereits nach einem abruf	snowflow	Server, Hosting und Workstations	6	30.11.2006 18:04
Frage zu Windows Server 2003	b++	Off-Topic Diskussionen	1	03.03.2006 09:41
Lokales MySQL mit Microsoft SQL Server	benpicco	Datenbanken	4	06.02.2006 16:20
Sql server auf root server starten?		PHP Tipps 2006	1	18.01.2006 17:59
[Erledigt] verschiedene Versionen auf einem W2K3 Server betreiben		PHP Tipps 2006	2	13.01.2006 17:39
Suche Tipps für Persormance-Steigerung (Geld für Nützliches)		Beitragsarchiv	18	16.08.2005 10:57
[Erledigt] Funktionssammlung auf externen Server auslagern		PHP Tipps 2005	20	29.05.2005 14:04
Neuer Strato Server apache 2 Mod Rewrite & htaccess Prob	Stemmi	Server, Hosting und Workstations	4	02.05.2005 00:29
[Erledigt] Mit PHP Script auf einem Root Server per SSH einlogen		PHP Tipps 2005	5	27.03.2005 19:24
Internal Server Error	Skazi	PHP Tipps 2004	2	06.10.2004 22:31
Fertig: PHP-Script - Server Online/Offline (TCP)		Beitragsarchiv	10	29.08.2004 15:45

18.05.2006, 12:13
tekknotrip Erfahrener Benutzer Registriert seit: 23.08.2004 Beiträge: 175	$_POST nur vom eigenen Server zulassen Hallo, ich habe das Forum hier durchforstet, allerdings zu keinem Schluß bei diesem Thema gekommen. register_globals off Habe ein <option> Formular, mit dem diverse Werte übergeben werden per POST. Nun nutzen das aber auch Fremde Seiten, die das nachbauen und eben diese $_POST Daten "verfälschen". Jetzt könnte ich ja hergehen und $_SERVER['HTTP_REFERER'] überprüfen, aber ich habe ca. 20 Domains, was auch den Rahmen der Pflegbarkeit sprengen würde bei allen Formularen das immer wieder zu pflegen. Kann man PHP nicht einfach sagen: $_POST darf nur vom eigenen Server kommen? Für Tipps und Hinweise (auch im Netz) wäre ich dankbar


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

18.05.2006, 12:16
KingCrunch Erfahrener Benutzer Registriert seit: 13.08.2007 Beiträge: 1.976	Schonma versucht HTTP_REFERER mit SERVERNAME zu vergleichen? __________________ Nicht jeder Fehler ist ein Bug.

18.05.2006, 12:33
tekknotrip Erfahrener Benutzer Registriert seit: 23.08.2004 Beiträge: 175	Hallo, ja das ist ja mein Problem. Ich habe 20 Domains, von denen das in etwa aufgerufen werden kann, sprich der REFERER kann zwar der richtige sein (also von mir), der passt aber nicht mit dem definierten SERVER_NAME zusammen

18.05.2006, 12:38
KingCrunch Erfahrener Benutzer Registriert seit: 13.08.2007 Beiträge: 1.976	Es gab zumindest eine Möglichkeit den Host des aktuellen Scripts rauszuziehen. Das dürfte auch nicht schwer sein. Durchforste mal im Manuel die $_SERVER-Variable... __________________ Nicht jeder Fehler ist ein Bug.

18.05.2006, 12:46
M3g4Star Erfahrener Benutzer Registriert seit: 23.08.2007 Beiträge: 1.510	Also jetzt spontan fällt mir da mal http://de2.php.net/manual/de/languag...predefined.php das ein ... Mit "__FILE__" könntest vllt das erreichen was du willst Ansonsten : http://de3.php.net/manual/en/reserve...riables.server Aber da solltest aufpassen denn Referer würd ich nicht benutzen: http://faq-phpfriend.de/q/q-http-referer.html

18.05.2006, 13:00
KingCrunch Erfahrener Benutzer Registriert seit: 13.08.2007 Beiträge: 1.976	Is __FILE__ nicht die Datei im lokalen Dateisystem? Bin grad auch zu faul nachzuschaun ^^ __________________ Nicht jeder Fehler ist ein Bug.

18.05.2006, 13:13
KingCrunch Erfahrener Benutzer Registriert seit: 13.08.2007 Beiträge: 1.976	Ja, war grad auffn Weg zu Dusche, da kann ein Link echt nur behindern Aber: Hatte recht! __FILE__ bezeichnet die Datei im lokalen Dateisystem, was ein auf der Suche nach dem aktuellen Host allerdings kein Stück näher bringt ... :P Problem: Ich hab nur eine Domain und ansonsten da auch eher ma rudimentär drüber geschaut. Was ist mit HTTP_HOST? Kann man den anständig mit HTTP_REFERER vergleichen, oder landet da auch wieder nur die "Hauptdomain"? __________________ Nicht jeder Fehler ist ein Bug.