Pa u slučaju curl zahteva, $_SERVER['HTTP_USER_AGENT'] će izgledati npr. ovako nekako: curl/7.18.0 (i486-pc-linux-gnu) libcurl/7.18.0 OpenSSL/0.9.8g. Imajući to u vidu, sa nekim regex-om možeš da proveriš sadržaj tog člana $_SERVER niza, i onda u zavisnosti od rezultata odbiješ/odobriš pristup.

Samo da napomenem da to nije 100% sigurno ;)
Npr:

A na koji nacin ti to trosi "puno bandwith-a"? Skida ceo sajt ili neki deo? Ako direktno skida sa nekih adresa, uvedi proveru referera, mozda to pomogne, zavisi od tvog konkretnog slucaja (pretpostavljam da hoces da zabranis direktno skidanje igara linkom sa drugog sajta?)

Linkuje mi igre, lazira refferer i onda skripta odobrava pristup fajlu za download. Tako da gotovo pola bandwidtha ode na skidanja sa tog drugog sajta. Fopen sam zabranio, iframe, hotlinkovanje takodje, ali ovaj curl pravi problem :)

Hvala Nikola, nego jel ne postoji mogucnost da blokiram nekog ko normalno pristupa mom sajtu? Pretpostavljam da ne, tako da ovo dolazi u obzir :)

E ovo je najveci problem, preko ovog koda mozesh da lazirash bilo koji browser, sad ostaje nada da lopov koristi neki "svoj" browser ;)

Pa ne preostaje ti ništa drugo nego da pratiš log fajlove na tvom serveru, i da onda na osnovu neke aktivnosti za koju smatraš da je sumnjiva, npr. prebrzo otvaranje stranica na tvom sajtu i slično, sastaviš neki .htaccess, koji će da blokira takve zahteve. Npr.:

Ili više uslova:

Naravno, uvek možeš da blokiraš i konkretnu IP adresu:

Ja bas hteo da predlozim referer, nisam znao da moze da se lazira.

Nego, a da probas sa javascript zastitom? Evo neka ideja iz glave; kad korisnik dodje na tvoj sajt normalno, preko ajax-a se stavi $_SESSION['real_visitor'] = true .

Pre nego sto skripta dozvoli skidanje, proveri ovaj uslov. curl i svi botovi se ponasaju kao browser bez JS, ovo ti bi odbilo dosta njih.

Ovde ima jedan problem; mnogo korisnika otvori brdo tabova da se ucitavaju.

Hvala puno! Probacu nesto da iskombinujem.

To sa javascriptom bi doslo u obzir da je web sajt u pitanju, ali posto je ovo sajt namenjem prevashodno mobilnim telefonima, ima dosta browsera koji ga ne podrzavaju.

Blokiranje po IP adresi je za najpouzdanije rešenje, to se ne može lažirati.
Naravno lopov će možda pokušati da crawler prebaci na na neki drugi hosting (zbog druge IP adrese) i tako napravi "prozor" kroz koji će opet prolaziti ali to je ipak spor proces pa ćeš stizati da ispratiš te promene, a on će se posle 5-6 puta umoriti.
Takođe možeš da ga prijaviš Guglu kao plagijatora pa ako pazari ban onda mu slaba vajda od tog sadržaja.
Ako je u pitanju naš sajt možeš i da mu pripretiš Odeljenjem za visotehnološki kriminal pozivajući se na autorska prava.

Evo uspeo sam za sad da uradim nesto, bas preko ip adrese. Nije u pitanju nas sajt.
Hvala na preciznim odgovorima ;)

Bolje koristi PHP sesije, nego proveru preko referera, posto ste i sami rekli da moze da se lazira.

Kako mislis koristiti sesije?

U principu sve se moze lazirati...

Napravi 2 skripte, 1 koja se poseti da bi korisnik downloadovao file, druga da postavi cookie i da mu file da download. Kada korisnik klikne na link DOWNLOAD ti mu postavis neki cookie random value, zatim uradis forward na drugu skriptu gde proveri da li ima cookie value taj i taj i ako ima das mu download.

Ima i varijanta da se lazira cookie, ali varujem da ce se namuciti dok skonta o cemu se radi i dok to namesti da fake-uje.

Sa druge strane uvek mozes da napravis dimanicki deny.

Primer iz glave na brzinu:
- Logujes svaki IP koji download fajl.
- Ako se isti IP pojavljuje recimo 5 puta za 1 minut ti ga ubacis na neku black listu.
- U skripti koja mu daje file za download prvo sto uradis proveris da li je njegov IP u black listi, ako jeste deny.

Ovo te spasava i kod promene IP adresa.

Ako je lik dovoljno pametan da vrti proxy adrese na svakom http requestu onda jebes ga:) Al to cisto sumnjam da je slucaj kod tebe.

Ovo lepo zvuchi, samo ako mogu neke smernice :)

Nazalost :)

Opet imam isti problem. Ne podrzavaju svi telefoni kolacice :S
To za IP dolazi u obzir, jer ima bas dosta downloada pa kad vidim da je jedan ip downloadovao 100 puta fajlove, odma na blacklist. Svidja mi se ovaj predlog. Samo sto je opet problem sa mobilnim telefonima jer dosta njih koristi istu ip adresu :)

Pa ti onda stavi da IP moze da ima ograniceno vreme u blacklisti, recimo 1 dan. Posle ga obrises iz liste.

Ima bolja opcija od blokiranja lopova. Umesto da ga blokiras kad otkrijes da krade sadrzaj, ti lepo napravi redirekciju njegovog zahteva na lazni fajl.
Znaci posto ti krade igrice ti napravi jednu laznu koja ce da izbaci poruku tipa "Igrica je ukradena sa to i tog sajta, za download iste kliknite tu i tu". Ukoliko ti je ovo previse koplikovano da napravis (mislim na igricu) uzmi onu skriptu za jar bookmark i modifikuj je da salje na tvoj sajt (skriptu imas na brdu domacih wap sajtova, ako ne mozes da nadjes javi se na pp).
On nece odmah primetiti da saljes druge fajlove, korisnici ce videti sta radi i preci da skidaju kod tebe...

Jes da dosta kasnim, ali evo finog objasnjenja za PHP sesije: http://tutorijali.rs/view_tutorial.php?id=310

Vrlo lako se lazira IP, provjereno.:)

Da, proxi je vrsta "prozora" ali vremenom će vlasnik sajta pohvatati sve te IP-ove i šta će onda? Ako lopovu nije mrsko da stalno traži nove proksije ni vlasniku sajta ne bi trebalo da bude teško da povremeno pogleda ko mu vuče BW i da blokira te IP. Ja bolje od ovoga ne umem.

Vracamo se na staru diskusiju :)

Sada postoje geolocation servisi koji ti vracaju kojoj zemlji pripada odredjeni IP. Tako da ako ti aplikacija/sajt nije full worldwide, lako mozes da odstranis deo nezeljenih korisnika/stetocina. Na primer tvoj sajt prodaje nesto sto moze da se kupi samo na Balkanu. Ti blokiras Kinu, jer su mnogo vece sanse da neko koristi proxy iz Kine, nego da je neko u Kini posetio tvoj sajt sa namerom da kupi nesto.

Jos jedna stvar koju mozes da uradis je da instaliras razne network dijagrame na server (pun ih je net, uglavnom pisanih u perlu), ako vec nemas neke na serveru i na taj nacin da pratis koji IP pravi znatno veci bandwith i blokiras IP. Vremenom nece ostati mnogo Proxy IP adresa koje mogu da se koriste.

Takodje mozes da belezis traffic koji je neki IP ostvario u zadnjih nekoliko sati ili dana, tj. da napravis download limit tvojih aplikacija.

Jos jedno resenje je firewall i filtriranje paketa, mislim da moze da se izvede da prepozna curl, ali ne znam kako, nisam vican sa firewall-ovima.

Kombinacijom ovih i prethodno navedenih zastita ostavljas jako malu mogucnost da neko zloupotrebi servers.

Nacina ima dosta, samo treba ideja i znanja. Nadam se samo da starter teme (da ne kazem otvarac :) ) cita ovaj topic :)