Your IP ***.***.***.*** is not allowed to send form !

[gent]

beim absenden eines Kontaktformulars bekomme ich unter Win-IE folgende Fehlermeldung:

Code: Select all

Your IP ***.***.***.*** is not allowed to send  form !

wenn man das formular jedoch ein zweites mal absendet, funktioniert es ohne Fehlermeldung.

in der config steht: $phpwcms['Bad_Behavior'] = 0;

Ums noch komplizierter zu machen ... 3 tage später konnte die oben beschriebene Fehlermeldung nicht mehr reproduziert werden. Ohne das irgendetwas an der config geändert wurde, werden heute die Formulare problemlos versandt.

noch eine hintergrundinfo:
die seite ist bei 1und1 gehostet, und es ist noch keine domain auf dem account geschaltet. im moment läuft die seite unter einer subdomain von "online.de" ,... die emailadresse des systems in der config ist aber schon auf die später zugeschaltete domain eingestellt.

kennt jemand dieses problem? hat jemand eine lösung?
meine suche im forum ergab nur alte problembeschreibungen, jedoch keine greifbaren lösungsansätze.

[update]

beim absenden eines Kontaktformulars bekomme ich unter Win-IE folgende Fehlermeldung:

Juhuu! Ich bin nicht (mehr) alleine!
Dabei ist es tatsächlich egal, ob BB an oder aus ist, ob der neueste Patch applied ist oder nicht.
Antwort darauf gibt's aber keine - betrifft ja eh "nur" den IE6 - und der ist in einem Jahr auf unter 1% Gesamtanteil zerfallen...
(Hoffentlich)

PS: das Phänomen gibt es nicht nur bei einsneins, das ist providerübergreifend und wahrscheinlich ein Zusammenspiel von seehr verschiedenen seeehr mysteriösen Faktoren... jedenfalls sendet der IE irgendwelche bescheuerten Header, die irgendwem nicht schmecken - manchmal...

[gent]

nein, betrifft nicht NUR den IE6,... der Fehler konnte kurzzeitig auch unter Mac-Safari 3.1.1 (aktuelle version) reproduziert werden.

kurzzeitig heisst ... der fehler wurde genau EIN mal angezeigt .. danach nie wieder.

im firefox oder opera ( win und mac) konnte ich den fehler jedoch nicht sehen.

[update]

auch unter Mac-Safari 3.1.1

OK - das konnte ich nicht testen - nur die Winversion...

[Heiko H.]

Hallo

ich hab dieses Verhalten auch schon mal gesehen (auf der Doku-Seite), der Sache aber keine große Bedeutung beigemessen.
Ich hab mir das jetzt mal angeschaut. Folgende Funktionen in /include/inc_lib/general.inc.php sind da mit von der Partie...

Code: Select all

function getFormTrackingValue() {
	//creates a new form tracking entry in database
	//returns a <input type="hidden">
	$ip   		= getRemoteIP();
	$hash 		= md5($ip.$GLOBALS['phpwcms']["db_pass"].date('G'));
	$entry_id 	= time();	
	if(!empty($GLOBALS['phpwcms']["form_tracking"])) {
		$sql  = "INSERT INTO ".DB_PREPEND."phpwcms_formtracking SET ";
		$sql .= "formtracking_hash = '".$hash."', ";
		$sql .= "formtracking_ip = '".aporeplace($ip)."'";
		if($entry_created = mysql_query($sql, $GLOBALS['db'])) {
			$entry_id = mysql_insert_id($GLOBALS['db']);
		}
	}
	return '<input type="hidden" name="'.$hash.'" value="'.$entry_id.'" />';
}

function checkFormTrackingValue() {
	//compare given tracking value against db tracking entry
	$ip    = getRemoteIP();
	$hash1  = md5($ip.$GLOBALS['phpwcms']["db_pass"].date('G'));
	$hash2  = md5($ip.$GLOBALS['phpwcms']["db_pass"].date('G', time()-3600)); //max form delay of 1 hour
	$valid = false;
	if(isset($_POST[$hash1])) {
		// form method POST
		$entry_id = intval($_POST[$hash1]);
		$valid = true;
		unset($_POST[$hash1]);
	} elseif(isset($_POST[$hash2])) {
		// form method POST 1 hour ago
		$entry_id = intval($_POST[$hash2]);
		$valid = true;
		unset($_POST[$hash2]);
	} else {
		// hm, no hash means - ERROR
		$valid = false;
	}
	return $valid;
}

Die erste Funktion platziert ein verstecktes Eingabefeld in den Formularen, welches einen hash enthält.
Beim Absenden des Formulars überprüft die zweite Funktion, ob dieser hash mitgeschickt wurde (Spamschtz). Dabei wird ein max. eine Stunde alter hash akzeptiert. Wenn ein "altes" Formular (z.Bsp. aus dem Browsercache ) abgeschickt wird, wird der euch bekannte Fehler ausgegeben. Das würde auch erklären, warum das Formular beim zweiten Versuch (also nach Reload ) anstandslos abgeschickt wird.

Vielleicht lieg ich ja auch völlig daneben, aber für mich sieht das aus, wie eben beschrieben...

Grüße Heiko.

[update]

AAH ja, das klingt plausibel...
Was auch noch auffällig ist: das Formular wird (bei mir) trotz der Meldung versandt...
Warum das aber schwerpunktmäßig eher beim IE(6) auftritt... hmm...

Aber das führt mich zu einer anderen Frage, die mich (in diesem Forum lauthals) schon länger beschäftigt: das sessionhandling (von phpwcms) ist mir immer noch völlig schleierhaft und ich habe das Gefühl, dass da noch irgendetwas "hängt": wenn ich nämlich verschiedenen phpwcms-Domains (auf dem selben Server) bearbeite und dies in schneller Folge, zwischendurch mal eben beim Forum vorbeihusche oder bei den Webmaster Tools, dann kann es passieren, dass ich beim nächsten Klick zwar die richtige Domain habe, aber eine völlig verkehrte Seite - irgendeine olle, vom vorletzten Mal. Beispiel: Ich klicke dann phpwcms.org, erhalte aber meinen Webmail login screen. Wenn ich den reloade, bekomme ich Google. Überall wird mit sessions gehandelt, die dann irgendwie übereinander stürzen (meinem Gefühl nach in Zusammenhang mit dem cms).
Das geht dann weg, wenn ich alle authenticated sessions lösche, den Browser (besser den Rechner) neu starte...

Oder bin ich da schon wieder der Einzige

[Heiko H.]

Warum das aber schwerpunktmäßig eher beim IE(6) auftritt... hmm...

Soll ich mich jetzt über IE auslassen???
Gern, aber ich weiß nicht wieviel Text das Feld hier fasst...

wenn ich nämlich verschiedenen phpwcms-Domains (auf dem selben Server)

Was sagt denn phpinfo() zu session.save_path?

...dass ich beim nächsten Klick zwar die richtige Domain habe, aber eine völlig verkehrte Seite - irgendeine olle, vom vorletzten Mal. Beispiel: Ich klicke dann phpwcms.org, erhalte aber meinen Webmail login screen. Wenn ich den reloade, bekomme ich Google...

Das klingt aber nach 'nem lokalen Problem

Oder bin ich da schon wieder der Einzige

Yepp...

[gent]

Hallo Heiko,

super erklärt! ... ich hatte instinktiv vor 3 tagen in allen menupunkten, in denen ein formular steckt den cache abgeschaltet (in der admin/seitenstruktur) .. selbiges habe ich auch in der jeweiligen artikelinfo abgeschaltet. für mich ist damit auch erklärt, warum das problem seit dieser zeit nicht mehr auftritt.

dankeschön

[update]

den cache abgeschaltet

hab ich in der conf.inc auch auf aus.. dachte, das sollte reichen - global...

Was sagt denn phpinfo() zu session.save_path?

Erwischt! Alles im selben Verzeichnis das muss anders... gelle?

claus wrote:Oder bin ich da schon wieder der Einzige
Yepp...

Alter Mutmacher!

[Golem]

Sch..., meine Frau war noch eingeloggt,...

Heiko H.

[Heiko H.]

Erwischt! Alles im selben Verzeichnis das muss anders... gelle?

Naja, müssen muß es nicht. ABER sollen sollte es schon
Leider ist das bei VIELEN (bei mir nicht ) Hostern nicht der Fall.
Wenn alle vhosts eines Servers ihre Sessions in dem gleichen Verzeichnis speichern, sind sogar Möglichkeiten da, Sessions zu "klauen", oder zu manipulieren Je nachdem, welche Daten in der Session gehalten werden, ist das nicht unbedingt ungefährlich!

Alter Mutmacher!

Sorry,...

Grüße Heiko...

[update]

Sch..., meine Frau war noch eingeloggt,...

Heiko H.

golem

[Heiko H.]

Sch..., meine Frau war noch eingeloggt,...

Heiko H.

golem

ja, der username meiner frau...
hier im forum

[update]

überall sessiondiebe
update

[Heiko H.]

überall sessiondiebe
update

Echt? Wo?