Wie schütze ich meine Seiten wirkungsvoll gegen Fremde Scripte. Ich meine damit, dass nicht jemand, z.B. an meine Webseite mit Forumlar sein eigenen Programmcode schickt.

Ist die Prüfung des Referer sicher? Bzw. schließe ich damit nicht Leute aus, die den Referer filtern (z. B. geht das ja ganz leicht bei Opera).

Klar Validierung der Daten muss auch sein. Aber man will seine Scripte ja so sicher wie möglich machen.

Original geschrieben von crowl
Ich meine damit, dass nicht jemand, z.B. an meine Webseite mit Forumlar sein eigenen Programmcode schickt.
Wie soll denn das gehen? Programmcode schicken?!
Also da brauchst du keine Angst zu haben; es sei denn, du verwendest eval() o.ä. Funktionen, die Variablen in ausführbaren Programmcode umwandeln.

Original geschrieben von crowl
Ist die Prüfung des Referer sicher? Bzw. schließe ich damit nicht Leute aus, die den Referer filtern (z. B. geht das ja ganz leicht bei Opera).
Das ist keinesfalls sicher! Der Referer kommt gänzlich vom Klienten und alle Daten, die vom Klienten kommen, sollten niemals als vertrauenswürdig angesehen werden.
Die zweite Frage hast du dir ja schon selbst beantwortet.

Original geschrieben von crowl
Klar Validierung der Daten muss auch sein.
Eben! Das ist auch das Einzige, was du tun kannst. Validiere möglichts viele Variablen, die vom Klienten kommen.

Sehr interessanter Link (http://www.php-faq.de/ch/ch-security.html)

Ich meine damit, dass nicht jemand, z.B. an meine Webseite mit Forumlar sein eigenen Programmcode schickt.

Damit meinte ich eigentlich:
meinedomain.de/meinformular.php ist mein Formular (auf meiner Seite), jetzt kommt einer, programmiert sein eigenes script, und setzt in seinem Script das Formulartag z.B. so:
<form action="meinedomain.de/meinformular.php" ...> , baut darum eine schleife, und müllt mein Forum zu, oder versucht ein Passwort zu bekommen, etc. (sorry, für meine unverständliche Schreibweise).

Ok, in diesem Fall bringt Validierung wohl nichts, da es sich ja um gültige Datan handelt. Da müsste man wohl die IP loggen, und wenn innerhalb eines kurzen Zeitpunkt viele Einträge von der gleichen IP kommen, blocken. Oder welche Lösungsansätze gibt es da?

Das mit der Referer Überprüfung hat sich dann wohl auch erledigt. Ist wohl nicht zu gebrauchen.

Wenn mir einfallen würde, wie man überprüft, von wo das Skript aufgerufen wird, würde ich es Dir sagen. :) Sieh mal bei phpinfo() nach, vielleicht findest Du da was.

Die Idee mit der IP-Sperrung für einen gewissen Zeitraum sollte ein Muss sein für jedes Forum/Gästebuch...

Original geschrieben von _c_4_
Wenn mir einfallen würde, wie man überprüft, von wo das Skript aufgerufen wird, würde ich es Dir sagen. :)

Ähm, es handelt sich dabei um den Referer ;)

Na nee! Na oder doch? Nee, eigentlich nicht. Ach Mensch, ich schau mal nach...

...Stunden später...

...phpinfo() gibt also nix feines aus, also weiß ich es noch immer nicht, was ich wollte.


Ergo: Mist, Du scheinst Recht zu haben. :(