Der Martin: Sicherheit: MySql-Injection und Zugriff "von aussen"

Beitrag lesen

Hi,

Hilfreich wäre vielleicht noch, wenn es diese Möglichkeit gibt, feststellen zu können, woher ein user kommt.

nein, das wäre gar nicht hilfreich, denn HTTP kennt kein "von" in diesem Sinn. Ein Zugriff kommt immer "vom" PC des Besuchers und kann daher vom Benutzer beliebig manipuliert werden.

Du kannst zwar mit etwas Glück in $_SERVER['HTTP_REFERER'] die Adresse der Seite finden, die den Besucher zum aktuellen Zugriff bewegt hat, einfach ausgedrückt also, die zuvor besuchte Seite. Das ist aber ebenso unzuverlässig wie alle anderen clientseitigen Informationen; beim Referer kommt dazu, dass man ihn in manchen Browsern ganz abstellen kann; manche Proxies, Firewalls oder Privacy-Tools tun das teils sogar ohne Wissen des Anwenders - oder sie übermitteln irgendeinen Blödsinn als Referer. Die Information ist also bestenfalls noch für statistische Erhebungen brauchbar, wenn man eine gewisse Fehlerquote sowieso erwartet, aber nicht für sicherheitsrelevante Fragen.

Ich müsste nicht wissen, ob der user von google oder selfhtml kommt, nur, ob z.B. von einem anderen server oder soetwas. Kann man das irgendwie abfragen?

Nein. Du kannst nur abfragen, ob in der Session ein "angemeldet"-Status hinterlegt ist, und wenn nicht, den Besucher sofort zum Anmelden auffordern bzw. ihm in dem Moment sensible Daten vorenthalten.

Ach so, ähm, aus $_SERVER['HTTPS'] erkennst du nur, ob der Besucher die aktuelle Ressource über eine gesicherte Verbindung (SSL, TLS) abruft. Bringt dir also nur eine Information, wenn du überhaupt SSL anbietest.

So long,
 Martin

--
Der Gast geht solange zum Tresen, bis er bricht.
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(