Hallo,

Du verstehst mich nicht.
Du verstehst Matthias nicht. Ursache: Dir mangelt es an grundlegendem Wissen.
Mag sein, bin noch jung und habe alles noch vor mir ;)

gut, dass du es wenigstens so siehst.

Irrelevant. Die Information "Anfragen von www.xyzz.de oder www.zxy.de" sendet der Client und ist beliebig manipulierbar.
NEIN! Eben nicht! Kann sein dass ich mich hier falsch Ausgedrückt habe.
Es ist nicht möglich, habe ich bereits selber probiert.

Das heißt nur, dass du es -vermutlich mangels Kenntnis der technischen Grundlagen von HTTP- nicht geschafft hast.

Wenn die Anfrage nicht von der Damain kommt, die auf der Liste steht, wird NIX gemacht. Basta!

Nochmal: Es gibt im HTTP-Kontext kein "von". Auf deinem Server trifft ein Request ein, der eine bestimmte Ressource anfordert (und der kommt *von* einem dir völlig unbekannten Client). Im Request-Header *kann* ein Feld namens "Referer" sein. Muss aber nicht. Und wenn es da ist, *kann* es die URL des Dokuments enthalten, das den Browser zu diesem Request veranlasst hat. Muss aber nicht.

Und da alle diese Informationen vom Client kommen, von dem du weder die technischen Möglichkeiten kennen kannst, noch das Fachwissen oder gar die kriminelle Energie des Anwenders, sind diese Informationen prinzipiell nicht vertrauenswürdig. Nicht einmal die IP-Adresse des Clients lässt sichere Rückschlüsse zu - sie kann nach dem Weg über -zig Proxies mehrmals verschleiert worden sein.
Jemand könnte deinem Server einen Request zustellen, bei dem du felsenfest überzeugt wärst, es ist der Bot von Google. Ebenso könnte man den HTTP-Request, den dein Shopsystem als "korrekt" annimmt, auch komplett mit einem x-beliebigen Programm erzeugen. Du würdest den Unterschied nicht bemerken.

Fazit: Wenn sich jemand Mühe gibt, der sich mit der Materie wirklich auskennt, dann kann er deinen Shop gnadenlos manipulieren.

So long,
 Martin