fopen aanvrager controle

**klasje.be** · 04/02/07 21:40

$url = "http://site.be/api.php?login=".urlencode($login)."&pass=".urlenco de($pass);
$result = @file_get_contents($url);

if($result == 1){
print "Je inloggegevens zijn ok!";
}

Dit is een script dat controleerd of de inloggegevens wel correct zijn bij 1 centrale webhost.
Deze centrale webhost (api.php) dient nu te controleren of de aanvrager van deze controle wel effectief hiertoe de rechten heeft.
Het gaat niet om de persoon die zich inlogt, maar om de 'vreemde website' die onze inlogmethode gebruikt zonder toestemming.
Ik dacht dit te doen via een REFERER controle, maar deze wordt bij file_get_contents natuurlijk niet meegezonden.
Hoe kan ik nu alsnog controleren of de aanvrager ervan hiertoe wel gerechtigd is?
Het handigste was als ik het domein kon te weten komen van waarop de aanvraag gebeurde, maar op deze methode lijkt dit haast onmogelijk.
Ik dien er rekening mee te houden dat de aanvragende website mogelijk het apiadres wijzigt en zich voordoet als iemand anders.

Is de enige methode echt dat de aanvrager een eigen uniek nummer/account moet aanmaken waarlangs wij kunnen herkennen wie het is als hij dit meezend naar de api?
Want ook op deze manier kunnen lekken ontstaan...

**wonko** · 05/02/07 09:29

Je weet toch normaal vanaf welke machines je API aangeroepen kan worden? Je hebt altijd het IP van de aanvrager, dus kan je daarop controleren... Gebruikers van je script kan je bvb dwingen hun ip te registeren voor ze je API kunnen gebruiken...

**klasje.be** · 05/02/07 14:29

En hoe kan ik het ip vinden juist van de aanvrager?
Gaat dit via PHP?
Want ik heb al zowat alle $_SERVER[] variabelen geprobeerd en ik krijg steeds gewoon mijn ip door of het ip van de api, niet van de api-gebruiker-site.

**Jurian** · 05/02/07 17:51

Dat zou $_SERVER['REMOTE_ADDR'] moeten zijn.

**klasje.be** · 05/02/07 19:35

Dan krijgt de api gewoon de inlogger zijn ip adres, niet het adres van de site dat die login script opent.

Zucht, computers.
Vandaag werkt dit inderdaad wel met REMOTE_IP.
Bedankt.

**systemdeveloper** · 05/02/07 20:50

http://nl3.php.net/reserved.variables

<?
echo "<pre>"; print_r ($_SERVER);
?>

Dan kom je er wel

**klasje.be** · 05/02/07 22:20

Geloof het of niet, maar ik heb elke variabele daar geprobeerd. :-p
Uiteindelijk bleek $_SERVER['REMOTE_ADDR'] toch het juiste te zijn.
Ondanks dat het gisteren niet werkte.
Raar, maar sja, ik besef dat enkel menselijke fouten bestaan, niet bij computers.

Computers zijn gelukkig (soms té) perfect.

Onderwerp Gereedschap

Toon

Onderwerp: fopen aanvrager controle

fopen aanvrager controle

Labels voor dit Bericht

Webhostingtalk.nl

Link met ons

Partners

Contact