Get Parameter überprüfen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Get Parameter überprüfen

    Hi,
    verschiedene Funktionen benötigen unterschiedliche GET Variablen.
    Ich würde an Anfang jeder Variable eine Validierung einbauen welche überprüft, ob alle benötigten GET Variablen vorhanden sind (Falls jemand in der URL raumfuscht).

    Macht Ihr Profis das auch so?

    Grüße

  • #2
    Nein.

    Kommentar


    • #3
      wir arbeiten mit sessions

      peter
      Nukular, das Wort ist N-u-k-u-l-a-r (Homer Simpson)
      Meine Seite

      Kommentar


      • #4
        Original geschrieben von Kropff
        wir arbeiten mit sessions

        peter
        d.h. explizit?
        Hier im Forum z.B. sind auch GET Variablen angegeben und wenn jemand fremdes diese ändert, gibt es Fehlermeldungen (eigene)
        Stichwort, Session ?
        Versteh ich nicht

        Kommentar


        • #5
          Original geschrieben von phpMorpheus2
          Hier im Forum z.B. sind auch GET Variablen angegeben und wenn jemand fremdes diese ändert, gibt es Fehlermeldungen
          ich habe nicht behauptet, dass das so toll mit den GET-Parametern ist.
          Original geschrieben von phpMorpheus2
          Stichwort, Session ?
          session

          peter
          Nukular, das Wort ist N-u-k-u-l-a-r (Homer Simpson)
          Meine Seite

          Kommentar


          • #6
            Original geschrieben von Kropff
            ich habe nicht behauptet, dass das so toll mit den GET-Parametern ist.

            session

            peter
            Was eine Session ist, ist mir bewusst.
            Jedoch frage ich mich, was die session mit der Validierung zutun hat?
            Oder lehnst du dich an eine session an, welche die get Parameter enthält und somit kein Risiko entsteht, alles sauber und unveränderbar bleibt?

            Das ist jedoch ein Problem finde ich, denn so kann man nicht verlinken!

            Kommentar


            • #7
              Ich verstehe die Frage ehrlich gesagt nicht richtig. In den Funktionen solltest du gar nicht mit den Superglobals arbeiten, sondern die nötigen Werte vorher validieren und dann an die Funktionen übergeben.

              Kommentar


              • #8
                Macht Ihr Profis das auch so?
                Ob ich ein Profi bin, möchte ich erstmal heftig bezweifeln.

                Wieso $_GET?
                Das Problem betrifft durchaus auch $_POST $_COOKIE $_SERVER $_REQUEST und was weiß ich noch was...

                Erster Test: PHP_SELF auf XSS prüfen

                Desweitern ist ein universeller Test schwierig, weil jeder Controller andere Parameter erwartet. Also muß der Controller/Dispatcher testen ob IHM die Parameter in den Kram passen.
                Bei schlechten/bösen Parametern auf einen ErrorControler umlenken, das Problem loggen oder per Mail zum Admin senden, damit er es klingeln hört.
                Wir werden alle sterben

                Kommentar


                • #9
                  Wenn man z.B. einen Thread besucht oder ein Profil oder sonstiges werden die Daten in der URL angezeigt da sie per GET übergeben werden um eine verlinkung zu sichern.

                  Meine Frage war darauf bezogen, wie Ihr die GET Variablen validiert.
                  ICH würde bei jeder Funktion die mit GET Variablen arbeitet eine If abfrage machen.
                  Und von euch Profis wollte ich wissen, ob es so ok ist oder es eine super Funktion dafür gibt.

                  Kommentar


                  • #10
                    Nur die konkrete Funktion/Methode/Klasse kann wissen, ob in dem Parameter ein x vorkommen darf oder ob er numerisch ist. Oder nur in Verbindung mir einem anderen Parameter zu Wirkung kommen darf.

                    Ausserdem muß es ja gar nicht ein Angriff sein. Ein falsch abgeschriebener oder veralterter Link verursacht die selben Sorgen.

                    evtl suchst du: http://de.php.net/manual/de/book.filter.php
                    Wir werden alle sterben

                    Kommentar


                    • #11
                      "suchen" tu ich ansich nichts.
                      Es war nur eine Frage :-)
                      Aber trotzdem danke für den Link

                      Kommentar

                      Lädt...
                      X