Sicherheitsrisiko???
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
abhngigkeit
action
attribut
benutzer
client
daten
diebstahl
einstellung
entscheidung
formular
manual
massnahme
quelltext
session
treffen
variable
verarbeitung
-
Hallo
Ich habe ein Formular, das dynamisch generiert wird. Darunter gibt es einige Felder, die nicht bearbeitet werden dürfen. Darum wird zB die Checkbox 'Admin' auf disabled="disabled" gestellt.
Bin zwar noch nicht beim allgemeinen Fehlersuchen angelangt, aber irgendwie scheint mir das zu unsicher: Kann jetzt jemand (böses) die Checkbox auf schreibbar stellen, und sich so zum Admin machen? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Sicherheitsrelevante Einstellungen sollte man immer auf dem Server halten. Sobald du eine Variable dem Client bekannt machst und die weitere Verarbeitung davon abhängig machst, wie sie der Client zurücksendet, wird es einen findigen User geben, der sie manipuliert. Also lass dein Script die Entscheidung, ob jemand Admin ist oder nicht immer nur in Abhängigkeit von Variablen auf dem Server treffen.
Alles was vom Browser kommt, ist manipulierbar: URLs, HTTP-Header (also auch Cookies) und POST-Daten aus Formularen (auch versteckte).
Für das seitenübergreifende Aufbewahren von Daten gibt es Sessions:
http://de.php.net/manual/de/ref.session.php -
Sessions sind sicher, oder? (Abgesehen von ID-Klau)
-
Schön ausgedrückt.^^
Abgesehen vom ID-Klau sind sie sicher.
Leider übertragen viele Websites zusätzlich zur Session-ID (mehr brauchts eigentlich nicht) noch andere Daten (bspw. als Cookie). Damit könnte man trotzdem an Benutzer-Daten gelangen. Aber die Sessions können eigentlich nichts dafür.
... und den "Diebstahl" der Session-ID kann man durch verschiedene Maßnahmen zumindest erschweren:
z.B.:
http://de.php.net/manual/de/function.session-regenerate-id.php
(seit PHP 5.1.0 auch wirklich benutzbar) -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage