Webformulare sicher machen?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Webformulare sicher machen?

    Hi,

    Ich habe ein Formular, das bedingt durch eine selectbox nur bestimmte Einträge zulässt.
    D.h. (hab ich zumindest kürzlich noch geglaubt) man weiss sicher, welche Werte die übergebene $select-Variable hat.
    Ich hab mir nicht mehr sehr viel dabei gedacht und auch eine überprüfung des Wertes von $select eingespart. Diese Variable wird einfach in die db geschrieben.

    Jetzt hab ich mir gedacht, dass es vielleicht möglich wäre (und wahrscheinlich auch ist) für einen beliebigen internetsurfer, ein ähnliches Formular nachzuschreiben und es (per action-Attribut) auf meine php-Seite weiterzuleiten. Damit könnte er praktisch beliebige Werte der Variablen $select zuweisen.
    Jetzt meine Frage(n):
    1. Habe leider z.Z. keinen webspace auf dem ich das testen könnte, aber ist das möglich?
    2. Kann ich das verhindern, ohne großartig alle Formulare meiner HP nach dieser Sicherheitslücke zu durchleuchten?

    Ps: vielleicht steh ich auch total aufm Schlauch, es ist schon etwas spät...


  • #2
    Re: Webformulare sicher machen?

    1. Habe leider z.Z. keinen webspace auf dem ich das testen könnte, aber ist das möglich?
    ja. problemlos.
    2. Kann ich das verhindern, ohne großartig alle Formulare meiner HP nach dieser Sicherheitslücke zu durchleuchten?
    verhindern ohne änderung deines codes? nein. sag ich mal.
    Die Zeit hat ihre Kinder längst gefressen

    Kommentar


    • #3
      Re: Webformulare sicher machen?

      Hi,

      Ich habe ein Formular, das bedingt durch eine selectbox nur bestimmte Einträge zulässt.
      D.h. (hab ich zumindest kürzlich noch geglaubt) man weiss sicher, welche Werte die übergebene $select-Variable hat.
      Ich hab mir nicht mehr sehr viel dabei gedacht und auch eine überprüfung des Wertes von $select eingespart. Diese Variable wird einfach in die db geschrieben.

      Jetzt hab ich mir gedacht, dass es vielleicht möglich wäre (und wahrscheinlich auch ist) für einen beliebigen internetsurfer, ein ähnliches Formular nachzuschreiben und es (per action-Attribut) auf meine php-Seite weiterzuleiten. Damit könnte er praktisch beliebige Werte der Variablen $select zuweisen.
      Jetzt meine Frage(n):
      1. Habe leider z.Z. keinen webspace auf dem ich das testen könnte, aber ist das möglich?
      2. Kann ich das verhindern, ohne großartig alle Formulare meiner HP nach dieser Sicherheitslücke zu durchleuchten?
      Was ist das denn??? Was besonderes???
      Also ich würd mir die Arbeit nicht machen ein Skript zu schreiben, nur damit ich beim hochladen meiner Story mein eigenes Thema anwählen kann, geschweige denn, ob der Rest der Seite das dann überhaupt richtig verarbeiten kann XD

      Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!

      bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
      Wie man Fragen richtig stellt

      Kommentar


      • #4
        Naja, umso ärgerlicher wäre es dann, wenn die ganze db-Struktur dahin ist. Denn ich speicher Kategorien ab. Mit SELECT DISTINCT werden alle unterschiedlichen Kategorien ins Design eingebaut. Wenn jmd also dieses Sicherheitsloch entdeckt, kann er beliebig viele Kategorien erstellen.

        Kommentar


        • #5
          Um eine einzelne Überprüfung deiner Formulare kommst du nicht herum, wenn du das stopfen willst. Dazu mußt du im verarbeitenden Skript prüfen, ob der Wert des Selectfeldes in ein bestimmtes Muster passt. Das geht zuverlässig nur auf Serverseite.

          Kommentar

          Lädt...
          X