Mailinglisten-Archive |
Hi, Norbert Pfeiffer wrote: > Hi Peter, > > man kann die Paranoia auch uebertreiben ! Was hat das mit Paranoia zu tun? > Versuche doch einfach mal, einen falschen Namen zu verwenden. Dein Skript zeigt doch immer Georg an, egal was ich oben auswähle... > Ansonsten reicht hier der Ausschluss von Tippfehlern, und dann > sind DropDown-Felder eine gute und hinreichende Loesng. Aber du die SQL-Statements im unteren Bereich verwendest, ist eine SQL Injection möglich. Da du $_SERVER['PHP_SELF'] verwendest ist auch XSS möglich... > Bei berechtigten Sicherheitsbedenken bin ich immer fuer https, > damit man den ganzen Vorgang wirklich unter Kontrolle hat. SSL hilft dir bei solchen Manipulationen gar nichts. Gruß -- Peter Prochaska Internet- und Securitydienste, P544 DATEV eG Tel: +49 911 276-5187
php::bar PHP Wiki - Listenarchive