[andreasm]

Hallo,

auf meiner privaten Homepage habe ich ein Statstik-Tool, genannt chcounter.
Ab und an entdecke ich Müll in der Statistik. Es werden Seiten geloggt, dies es eigentlich gar nicht gibt.

z.B.
wvw.BLABLA.de/index.php/bildergal2003/2003-06-20/bilder2004/2004-05-30/bilder2003/2003-06-01/index.php?page=home

Gebe ich dies im Browser ein, so kommt nahezu das gleiche wie bei

wvw.BLABLA.de/index.php?page=home

Nur manche Bilder usw können nicht richtig dargestellt werden.

Nun ist die Frage:
Wie kann ich es verhindern, das Bots oder Besucher solch einen Unfug eingeben können?
Es könnte dann eine 404 Fehlerseite angezeigt werden.
Sprich: Kann ich dies in der index.php herausfiltern?

Dieser Beitrag wurde von andreasm bearbeitet: 08. März 2011 - 12:26

[Witi]

Du überprüfst doch sicherlich entsprechende Variablen und Werte in deiner Datei. Dann kannst du doch ganz einfach, je nach Inhalt eine 404-Seite anzeigen bzw. zu einer weiterleiten.

In deiner .htaccess kannst du übrigens auch eine 404-Seite definieren, die automatisch ausgeliefert wird, falls deine Seiten einen 404er zurückliefern:

ErrorDocument 404 http://www.meineseite.de/404.html

[andreasm]

Klar prüfe ich Variablen, z.B. die page Variable. Das funktioniert ja.

Doch was auch immer zwischen index.php und ?page steht, bleibt einfach stehen.
Wie kann ich diesen Unfug dazwischen herausfiltern?

Ich weiß, dass ich die Daten hinter dem Fragezeichen ? mit der Request anweisung auslesen kann.
Doch wie frägt man nun das zwischen index.php und dem Fragezeichen ab?


Die 404 Fehlerseiten habe ich natürlich aktiviert, doch die Homepage wird ja trotz dem Unfug weiterhin angezeigt

[Witi]

Also für mich ist
www.BLABLA.de/index.php/2003-06-01/index.php?page=home
eine komplett andere Seite als
www.BLABLA.de/index.php?page=home
und das kannst du serverseitig eigentlich auch ohne Probleme herausbekommen.

Hast du allerdings den Fall, dass du sämtliche Requests nach index.php umleiten lässt - für mich sieht das schwer danach aus - kannst du bspw. mittels $_SERVER['REQUEST_URI'] überprüfen welche URL aufgerufen wurde.

[andreasm]

Ah gute Idee mit dem request_uri. Danke.

Ich machs am besten so:
- am Anfang der index.php Datei $_SERVER['REQUEST_URI'] abfragen
- Dann den String untersuchen, ob sich zwischen dem index.php und dem ? weitere Zeichen befinden

z.B. ist dies ja falsch:
index.php/fpjsdfidsjfiodsj?page=home

und wird dann automatisch geändert in :
index.php?page=home



"dass du sämtliche Requests nach index.php umleiten lässt"
Ich bin mir nicht bewusst, dass ich das gemacht habe. Wüsste auch nicht wie das geht... Wie kann man dies denn direkt verhindern?

[andreasm]

So funktioniert es nun

// echo $_SERVER['REQUEST_URI'];
		 $urspruenglicheUrl = $_SERVER['REQUEST_URI'];

		 // Prüfen, ob / hinter index.php vorhanden ist, deutet auf Unsinn hin
		 $startposurl = strpos($urspruenglicheUrl,"index.php/");

		 if ($startposurl > 0)

		 {
			// $boeserteil =  substr($urspruenglicheUrl, $startposurl + 9, strpos($urspruenglicheUrl,"?")-10-$startposurl );
			$guterteil = substr($urspruenglicheUrl,strpos($urspruenglicheUrl,"?"), strlen($urspruenglicheUrl));
			Header('Location: http://www.partysaarfari.de' . $guterteil);

		 }

[Witi]

Du kannst z.B. sowas machen:

$request = explode('/', $_SERVER['REQUEST_URI']);

Bei dir müsste also der Querystring wohl immer an 2. Stelle im Array auftauchen. Und wenn er es nicht ist, weißt du automatisch, dass eine falsche URL aufgerufen wurde.

Viel einfacher als deine Lösung.

Zitat

"dass du sämtliche Requests nach index.php umleiten lässt"
Ich bin mir nicht bewusst, dass ich das gemacht habe. Wüsste auch nicht wie das geht... Wie kann man dies denn direkt verhindern?

Vergiss es, da habe ich mich verguckt.
Ich dachte zuerst, dass auch andere Dateien neben index.php betroffen sind.

[andreasm]

explode würde nicht klappen, glaube ich. Denn es können ja mehrere / zwischen index.php und ? stehen. Das kommt leider oft vor..

www.BLABLA.de/index.php/2003-06-01/bildergal/index.php?page=home

Das fettgedruckte müsste weg.

Dieser Beitrag wurde von andreasm bearbeitet: 08. März 2011 - 15:54

[Witi]

Aber genau deswegen explode. Du weißt, dass in "$request[2]" immer der Querystring stehen muss!

Falls du keinerlei Unterordner in deiner Anwendung haben wirst, kannst du auch PATH_INFO verwenden.

if (isset($_SERVER['PATH_INFO'])) {
	header("HTTP/1.0 404 Not Found");
}

[andreasm]

Ahso. Sorry. Danke!

Bin heute nicht so ganz bei der Sache