HTML Tabelle auslesen und übergeben

Einklappen
X
Einklappen
 
  • Seite von 3
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 3 template Weiter
  • #16
    Original geschrieben von jmc
    aber wie übergibst du per Post eigene Daten?!
    Ich "clone" deine Formular, und baue mir die Felder in die HTML-Seite ein.

    Ach, du prüfst den Referrer? Na fein, dann manipuliere ich den eben auch über Browser/Proxy/Extension - oder füge einfach auf deiner Original-Seite beliebige Felder per Javascript hinzu ...
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar

    • #17
      Original geschrieben von wahsaga
      oder füge einfach auf deiner Original-Seite beliebige Felder per Javascript hinzu ...
      Wie geht das? (beliebiges Javascript natürlich, nicht 'beliebige Felder')

      Kommentar

      • #18
        es sollte sich doch langsam herumgesprochen haben, dass alle parameter die vom client kommen nicht vertrauenswürdig sind:

        Advanced Parameter Manipulation
        * Erinnerung: nicht nur $_GET/$_POST
        verwundbar
        * Accept-Language:
        ../../../etc/passwd%00
        * User-Agent, weitere Client-supplied Variablen
        * Beispiel:
        $lang = $_ENV['ACCEPT_LANGUAGE'];
        include("./lang/" . $lang . "/index.php);

        ob nun per firefox-plugin, lokalem proxyserver, oder ganz "normal" etc. ...
        ALLES was der client übermittelt ist eine potentielle angriffsfläche und muss validiert werden!

        Kommentar

        • #19
          Original geschrieben von MasterB

          Wenn ich Formularfelder benutze, kann ich die gegen Eingabe schützen?
          Attribute readonly oder disabled, zum Beispiel <input type=text readonly ....>

          Wenn ich Formularfelder benutze, kann ich die gegen Manipulation schützen?
          Siehe obige Exkurse. meine Frage bleibt: Wie geht das? (beliebiges Javascript natürlich, nicht 'beliebige Felder')

          Kommentar

          • #20
            Original geschrieben von h31ss
            meine Frage bleibt: Wie geht das? (beliebiges Javascript natürlich, nicht 'beliebige Felder') [/B]
            warum jetzt der lame-name: "h31ss", das hast du wirklich nicht nötig.
            bleib bei "heiss", wobei es in der deutschen sprache immer noch "ß" gibt:
            es heißt 'heiß' und nicht 'heiss', genauso wie es 'straße' und nicht strasse heißt, aber das ist eine andere sache.

            so, "heiss" oder wie du dich auch immer nennen magst, hier kannst du dich über js-injections informieren: XSS (Cross Site Scripting)

            ... und das ist nicht nur theorie, glaub mir

            Kommentar

            • #21
              Wenn ich Formularfelder benutze, kann ich die gegen Eingabe schützen?
              und eine weitere frage: wozu?

              Wie geht das? (beliebiges Javascript natürlich, nicht 'beliebige Felder')
              etwa mit ausnutzung von xss-problemstellen (das sind wiederum formulare oder url-variablen).

              Kommentar

              • #22
                Original geschrieben von penizillin
                und eine weitere frage: wozu?
                ist die frage mit deiner anzahl von posts ernstgemeint?

                Kommentar

                • #23
                  auch wenn ich dir nicht folgen kann - ja.

                  Kommentar

                  • #24
                    Original geschrieben von penizillin
                    auch wenn ich dir nicht folgen kann - ja.
                    ok, ich denke, du meinst serverseitige validierung - sorry.

                    Kommentar

                    • #25
                      Original geschrieben von wahsaga
                      Ich "clone" deine Formular, und baue mir die Felder in die HTML-Seite ein.
                      Dagegen bin ich wohl geschützt, denn jedes meiner Formulare hat eine eigene Zufalls-ID


                      Original geschrieben von wahsaga
                      Ioder füge einfach auf deiner Original-Seite beliebige Felder per Javascript hinzu ...
                      Wie kann man sowas verhindern?

                      Kommentar

                      • #26
                        Original geschrieben von jmc
                        Dagegen bin ich wohl geschützt, denn jedes meiner Formulare hat eine eigene Zufalls-ID
                        hm, und wie wird diese id übermittelt?
                        sag jetzt bitte nicht per "hidden-field"

                        Kommentar

                        • #27
                          Original geschrieben von jmc
                          Wie kann man sowas verhindern?
                          js nicht zulassen wäre eine gute möglichkeit.

                          Kommentar

                          • #28
                            Das Formular brauche ich aber wohl...


                            Die ID wird erstellt, in der DB gespeichert und dann wieder abgefragt.

                            Kommentar

                            • #29
                              Original geschrieben von jmc
                              Das Formular brauche ich aber wohl...
                              wohl wahr - hat jemand etwas anderes behauptet?

                              Original geschrieben von jmc
                              Die ID wird erstellt, in der DB gespeichert und dann wieder abgefragt.
                              selbst wenn du die id verschlüsselst in einer db speicherst, wird das ding dadurch nicht sicherer.
                              die id sendet schließlich der client, also musst du die id auch dem client irgendwie bekannt gemacht haben.

                              Kommentar

                              • #30
                                Die ID wird beim Absenden erstellt und danach abgefragt, wie willst du sowas mit einem eigenen HTML-Forumular machen?

                                wie meinst du das mit "js nicht zulassen wäre eine gute möglichkeit."? Wie kann man dies verwirklichen?

                                Kommentar

                                Vorherige 1 2 3 template Weiter
                                Lädt...
                                X