Hallo liebe Community,

ich habe vor einigen Tagen mir ein .net-Domain zugelegt. Nun habe ich die Einstellungen so vorgenommen, dass man nicht merkt, dass man eigentlich nicht auf dem Server ist, das heisst man kann mit:
www.test.net/?page=home
Url-Hiding heisst diese Einstellung. Nun habe ich aber das Problem, dass mein Login-Script nicht mehr funktioniert, da dieses die Ip zusätzlich speichert und zum Anemlden benötigt. Die Ip die jetzt aber in $_SERVER['REMOTE_ADDR'] auftaucht ist die des name servers.

Nun meine Frage, wie kann ich entweder die eigentliche Ip herausbekommen?

Mfg, xCODERx

Hallo xCODERx,

ich versteh nur Bahnhof. Kannst Du das mal etwas genauer ausführen und wo das Problem genau liegt? Außerdem steht in $_SERVER['REMOTE_ADDR'] die IP des Client der die Seite aufruft. Diese ist mit 99%iger Sicherheit dynamisch und ändert sich mindestens 1 Mal am Tag, wenn man vom Provider zwangsgetrennt wird.

Also,

Wenn ich den Wert von $_SERVER['REMOTE_ADDR'] auf meiner Homepage anzeige, unterscheidet sich diese je nach dem ob ich Zugriff auf meine Seite per foo.net oder per foo.bplaced.com erlange.

Hallo,

wie oben schon erwähnt, steht in $_SERVER['REMOTE_ADDR'] die IP-Adresse, die vom Client übermittelt wird. Die ist bei einem riesigen Großteil der Internet User dynamisch und ändert sich häufig. Benutzer von u.a. AOL surfen durch einen Zwangsproxy, dadurch ändert sich die IP bei jedem Seitenaufruf. Außerdem sind alle Werte in $_SERVER manipulierbar, sowohl clientseitig als auch serverseitig. Gerade bei kostenlosen Anbietern wie bplaced weiß man nie, was die da im Hintergrund treiben, welche Daten sie einfügen/verändern um ihren Dienst zu finanzieren.
Generell sollte man niemals dynamische Info, wie z.B. IP-Adressen, für Dinge wie ein Login verbindlich machen.

Welche Informationen über den User kann man dann speichern, um XSS zu unterbinden?

Hallo xCODERx,

XSS unterbindest Du nicht durch das Speichern und abgleichen von bestimmten Benutzerdaten, sondern durch eine effektive Filterung (http://blog.liip.ch/liip/popoon/) und durch verhindern das gefährlicher Code, der durch Benutzer in's System eingeschleust wurde, was bei einer guten Filterung erst gar nicht passieren sollte, auf der Seite angezeigt werden kann - Stichwort htmlspecialchars / htmlentities.