Mailinglisten-Archive |
> > > ...und wenn ich im Script prüfe, ob der Referer == PHP_SELF ??? > > > > Referer lassen sich fälschen oder werden oftmals gar > > nicht erst angegeben (z.B. weil man es im Opera aus- > > Nix Referer, nix File. Basta! Klar kannst Du einen Referer faken. Aber > ihm ging es ja auch nur darum, simple Links abzufangen. Obwohl ich mir > da eher die Linker raussuchen und denen beliebigen Unfug senden würde. > Allerdings wohl eher mit den Bordmitteln des Indianers als per PHP. ich hab den thread nicht von anfang an verfolgt und hoffe es wurde noch nicht genannt (falls doch vergebt mir :). man könnte doch folgendes machen: wenn ein user die download seite betritt, wird in eine mysql db eine unique SID und ein timestamp eingetragen und alle download links werden damit versehen. die download links sind mit einem php script verlinkt, was einfach nachprüft ob die SID in der db existiert, falls ja wird dem user die datei geschickt ansonsten nix (bzw falls man genug treffic hat einfach nur datenschrott). dann lässt man noch ein phpscript als cronjob laufen, was einfach zb alle 10 min alle SIDs die älter als 5min sind rauschmeißt, oder falls man keine rechte für cronjobs hat, einfach das download script die tabelle selber aufräumen lässt. das könnte man zwar auch hintergehen in dem man auf der fremden seite per fopen die dl page öffnet und SID ausliest, und dann das download script damit aufruft, dies wäre aber doch ziemlich kompliziert, und man müsste es jedesmal anpassen, wenn die leute denen die download seite gehört dort etwas ändern. mfg andreas teichrib
php::bar PHP Wiki - Listenarchive