Wer Internetseiten erstellt, kennt das Problem: Eine interaktive Funktion (Gästebuch, Produktangebote, Fotogalerie) braucht einen Zugangsschutz, der den unberechtigten Aufruf der Funktion oder der Pflegeseite dazu verhindert.
Häufig wird gerade bei kleineren Präsenzen nur ein Passwort abgefragt und dann beispielsweise per Header-Redirect auf die Pflegeseite weitergeleitet. Das Problem bei diesem einfachen Zugriffsschutz ist aber in der URL-Zeile offensichtlich, denn da sieht man die URL der Pflegeseite und könnte sie auch durch Direkteingabe am Zugriffsschutz vorbei aufrufen.
Hier hilft eine Überprüfung des Referrers in der aufgerufenen Pflegeseite. Kommt der Aufruf der Pflegeseite von der Seite, auf der das Passwort abgefragt wird (im Beispiel „login.php“), wird er durchgeführt, klebt ein anderer oder gar kein Referrer an dem Aufruf, wird er nicht durchgeführt, sondern auf eine Fehlerseite umgeleitet:
$pos = strrpos($_SERVER[‘HTTP_REFERER’], “meinserver.de/login.php”);
if ($pos === false) {
header(‘Location: http://meinserver.de/ fehler.php’);
}
