Blokada hotlink Opcje

[LamaMASTER]

Witam,
Tworzę blokadę hotlink do mojego downloadu:

[PHP] pobierz, plaintext 
<?
case "pobierz":
$polecajacy = $_SERVER{'HTTP_REFERER'};
if (!$HTTP_REFERER) {
$polecajacy = '';
} 
 
if (empty($polecajacy)) {
// pobierz plik
}
else {
// przekieruj na stronę hotlink sucks
}
break;
?>
[PHP] pobierz, plaintext 

Niestety nawet przy klikaniu na link z mojej strony przekierowuije mnie na podstronę hotlink sucks. Kombinowałem już z innymi rzeczami tego typu i albo mnie przekierowuje, albo nie pobiera. Nie doszedłem jeszcze do tego jak zrobić, żeby przy klikaniu na link z innej strony przekierowywało, a prosto z mojej pobierało...

[Nastolatek]

Co do pierwszego nie pomogę, ale co do drugiego pytania możesz sprawdzić czy referer z którego zostało zainicjowanie rozpoczęcie ściągania pliku jest przynależny do Twojej domeny. (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[LamaMASTER]

Heh czego ja nie próbowałem.
Wg mnie najprościej byłoby tak:
zmienna = strona polecająca;
if (zmienna == moja domena)
pobierz
else
przekieruj
Tylko jak to teraz upraktycznić?

[siemakuba]

oj oj..
spójrzmy na ten kawałek kodu:

[PHP] pobierz, plaintext 
<?php
$polecajacy = $_SERVER{'HTTP_REFERER'};
if (!$HTTP_REFERER) {
?>
[PHP] pobierz, plaintext 

po pierwsze - nie $_SERVER{'HTTP_REFERER'} a $_SERVER['HTTP_REFERER'].
po drugie - to jak wkońcu? $_SERVER['HTTP_REFERER'] czy $HTTP_REFERER?

co do samego pytania:
załóżmy, że twoja strona to www.strona.pl

[PHP] pobierz, plaintext 
<?php
if ($_SERVER['HTTP_REFERER'] != 'www.strona.pl')
{
	header('Location: nie_ma_hotlinkowania.php');
	exit;
}
else
{ 
	// tu to co potrzebujesz jezeli od ciebie z serwera
}
?>
[PHP] pobierz, plaintext 

sprawdz najpierw za pomoca print_r($_SERVER); co dokładnie będzie w $_SERVER['HTTP_REFERER'] - nie pamietam czy bedzie z http:// na poczatku czy bez.
pozdr.

[LamaMASTER]

po pierwsze - nie $_SERVER{'HTTP_REFERER'} a $_SERVER['HTTP_REFERER'].

Mogę to samo powiedzieć - [ i ] używa się jedynie w PHP3, we wszystkich nowszych używa się { i }, ale php jest też kompatybilne wstecz.

po drugie - to jak wkońcu? $_SERVER['HTTP_REFERER'] czy $HTTP_REFERER?

Tutaj testowałem znowu jedną rzecz, więc tak zostało (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Zaraz sprawdzę Twój kodzik

edit

Dzięki, dziala. No i z $_SERVER{'HTTP_REFERER'} (IMG:http://forum.php.pl/style_emoticons/default/snitch.gif)
Tylko musiałem podać dokładny adres do podstrony (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Nie da się go jakoś oczyścić, żeby np było:
$zmienna = $_SERVER{'HTTP_REFERER'};
$zmienna = wyciągnij jedynie http://domena.pl, a to co za ukośnikiem odetnij
?

edit

Dobra, sam wpadłem na ten pomysł:
$polecajacy = $_SERVER{'HTTP_REFERER'};
$polecajacy = substr($polecajacy, 0, ILOŚĆ_LITER_DOMENY_WRAZ_Z_HTTP);

Ten post edytował LamaMASTER 4.06.2006, 12:37:28

[dopy]

A nie lepiej skorzystac z parse_url" title="Zobacz w manualu php" target="_manual (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[LamaMASTER]

Dzięki za funkcję (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Tak czy siak na jedno wychodzi hehe

Mam jeszcze jeden problem, mianowicie statystyki pokazują mi zużycie transferu i nadal najwięcej zżera mi USA, chociaż strona jest kierowana do Polaków. Głównie chodzi o to, że chyba jakaś inna strona podpięła się pod mój download, ale jak te zabezpieczenie hotlink zjadają - nie wiem. Czy da się jakoś zrobić zabezpieczenie przed osobami z innych krajów? Tzn. żeby mogli pobierać tylko ci, którzy mieszkają w Polsce.

[dopy]

Ja zabezpieczam download przez plik .htaccess, kontolujący odsyłacz i dopuszczający do plików danego typu tylko z danej domeny.

Zrób sobie plik .htaccess i wrzuć w nim:

Kod

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?domena\.pl [NC]
RewriteRule .*\.(zip|exe|rar|gz|tar.gz|tar)$ http://domena.pl/hotlink.html [L]

Najlepiej wrzucić w katalogu głównym, to zabezpieczenie obejmie także podkatalogi.

Oczywiście zamiast "domena" wpisz swoją nazwę z której ma być dozwolone hotlinkowanie, jak widać wymienione są typy plików do których ma kontrolować hotlinki (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) , można dopisać sobie inne typy jak jest taka potrzeba. Aha, no i w przypadku próby hotlinkowania z innych domen, przekieruje do pliku hotlink.html - rzecz jasna można to dowolnie modyfikować.

Mam nadzieję że ten sposób się przyda.

Pozdrawiam.

Ten post edytował dopy 9.06.2006, 14:49:13

[LamaMASTER]

Wielkie dzięki.
Jak to działa już się domyśliłem, bo cała moja strona używa przyjaznych linków, ale nie wiedziałem, że RewriteCond potrafi zdziałać takie cuda (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

edit

Kurzcze mistrzu, wrzucam taki .htaccess nawet na inne moje serwery z downloadem dla strony i też działa jak trzeba (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) O to chodziło - teraz user jest zmuszony pobierać tylko z mojej strony nawet jeśli zna ścieżkę do pliku (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

Ten post edytował LamaMASTER 9.06.2006, 15:08:34

[dopy]

No sposób ten jest dość uniwersalny i przydatny - znacznie lepiej jest zabezpieczać z poziomu dostępu do plików na serwerze niż z poziomu skryptu, ponieważ poznać prawdziwą ścieżkę pliku to nie jest duży problem (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Cieszę się że mogłem pomóc. Pozdrawiam (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[em1X]

z tym, ze zmienna HTTP_REFERER mozna sobie wysłać samemu jakakolwiek sie chce
zabezpieczenie bazujace tylko na tym, jest po prostu lipne :/

lepiej korzystac z czegos w stylu

[PHP] pobierz, plaintext 
<?php
if (!defined('INPHP')) die('Brak dostępu');
?>
[PHP] pobierz, plaintext 

[Hacker]

Sory za [OT]

Mogę to samo powiedzieć - [ i ] używa się jedynie w PHP3, we wszystkich nowszych używa się { i }, ale php jest też kompatybilne wstecz.

teraz to dałeś
poczytaj php Solutions 3/2006 o PHP6 bo nie chce mi się przepisywać

Ten post edytował Hacker 9.06.2006, 16:26:16

[dopy]

z tym, ze zmienna HTTP_REFERER mozna sobie wysłać samemu jakakolwiek sie chce
zabezpieczenie bazujace tylko na tym, jest po prostu lipne :/

lepiej korzystac z czegos w stylu

[PHP] pobierz, plaintext 
<?php
if (!defined('INPHP')) die('Brak dostępu');
?>
[PHP] pobierz, plaintext 

Tu się oczywiście mogę zgodzić - prawie każde zabezpieczenie jest do obejścia (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Ale jeśli chodzi o zwykłe podlinowywanie do plików z innych stron, to moje rozwiązanie w pełni wystarczy.

Pozdrawiam.

[LamaMASTER]

Sory za [OT]
teraz to dałeś
poczytaj php Solutions 3/2006 o PHP6 bo nie chce mi się przepisywać

Podaj mi dowody, że w PHP4 jest wskazane używać [ i ] zamiast { i } to uwierzę...

Aha i jeszcze jedno - czemu mam wierzyć php.pl, skoro php.net mówi całkiem inaczej?

Ten post edytował LamaMASTER 12.06.2006, 16:16:58

[dr_bonzo]

Wyjasniam:
do tablic uzywa sie [ ] :
$_SERVER[ 'REMOTE_ADDR' ];

do wyciagania pojedynczego znaku ze stringa { }
$string = 'abc';
print( $string{1} ); // b
ale [ ] tez dziala, ale ponoc jest wolniejsze i jest niezalecane

[LamaMASTER]

No ale w tablicach też działa { i }, więc?

[em1X]

więc używaj jak ci wygodniej, bo prędkości są praktycznie takie same dla obu metod

[LamaMASTER]

więc używaj jak ci wygodniej, bo prędkości są praktycznie takie same dla obu metod

Więc czym metody się różnią i która jest szybsza (no i dlaczego)?

[em1X]

Typ string to nic innego jak char* w C więc tablica. {} to pewnie konstrukcja językowa mapowana na [] w języku natywnym.

Sprawdziłem prędkość wyświetlania obiema metodami w pętli o 200k iteracjach i różnica była.. [] minimalnie szybsze.

Ale mówię, że w normalnych warunkach prędkość jest niezauważalna więc pisz jak Ci wygodniej...

[LamaMASTER]

Typ string to nic innego jak char* w C więc tablica.

W C string to wcale nie to samo co char* (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
Ale dzięki za odpowiedź, już się przyzwyczaiłem do { i } (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)