Mailinglisten-Archive |
>Nun gut..ich mache es so, das auf den Seiten immer abgefragt wird ob der User der darauf zugreift es im Moment überhaupt darf. Dazu müssen aber due User angemeldet sein. Das scheint bei dir ja nicht der Fall zu sein bzw. soll auch nicht sinn und zweck sein. wenn nicht, dann probiere es doch mal mit der "post" methode eine formulars...also das man die werte nicht in der url sieht. da du ja kein formular dierekt machts, kannst du ja "hidden"- felder nehmen. alles klar? ----------------- Hi! Allerdings hast Du dann das Problem, dass man einfach mal schnell in den HTML-Code schaut, die versteckte Variabel findet und das ganze dann wieder ausprobieren kann, indem man sich die HTML-Seite auf Festplatte speichert, dann die Werte ändert und die annehmende PHP-Datei mit dem korrekten http://wohin.de/gaestebuch.php aktualisiert. Spätestens hier hat der Crack dann Erfolg. Alles schon ausprobiert. Funzt meistens ganz gut. Weiterhin ist es möglich, einen Gästebucheintrag zu ändern, den man gar nicht geschrieben hat. Das funktioniert wie folgt: Angenommen, der Gästebucheintrag kann grundsätzlich nacheditiert werden. Ohne Benutzerverwaltung. Dann öffne ich (nachdem ich den Level durch Ausprobieren gefunden habe) einen x-beliebigen Datensatz. Im Formular wird dann die Datensatz-ID als verstecktes Feld zu finden sein. Diese ID ändere ich, speichere die gesamte HTML-Datei auf meiner Platte und schicke die Ändrung inkl. der veränderten DatensatzID wieder an den Server. Und nun wundert sich irgend ein anderer Benutzer, warum plötzlich was im GB steht, was er nicht geschieben hat. Also solltet Ihr auch daran denken, dieses potentielle Loch vernünftig zu stopfen :-) Gruß Tim --- Infos zur Mailingliste, zur Teilnahme und zum An- und Abmelden unter -->> http://www.4t2.com/mysql
php::bar PHP Wiki - Listenarchive