phpbar.de logo

Mailinglisten-Archive
[php] Zeitkontrolle

[php] Zeitkontrolle

Norbert Pfeiffer norbert at itbw.de
Die Okt 11 18:08:50 CEST 2005 

Hi Peter,

> > Versuche doch einfach mal, einen falschen Namen zu verwenden.
> Dein Skript zeigt doch immer Georg an, egal was ich oben auswähle...
hmm,
mir ist bekannt, dass ich oft alles ueberfluessige weglasse.
Deshalb ist es ratsam, alles aufmerksam zu lesen oder auch
nicht, wenn es einen z.B. nicht interessiert ... ;-)

[zu Georg]
Georg ist das Beispiel, damit man weiss, welche Datensaetze in der
Tabelle zu erwarten sind. Georg ist fest einprogrammiert!

[zum Namen]
Den Namen waehlt man aus dem DropDown aus und der wird fuer die
Zeitkontrolle verwendet (Query steht weiter unten im MySQL-Debugger).
Eine SQL-Injektion kann da jeder versuchen, klappt nicht tun ... ;-)

[zu PHP_SELF]
Sobald ich etwas in der Art verwende, wie Du es vorgeschlagen hast,
wird $_SERVER['PHP_SELF'] zu einem Leerstring und je nach Variante,
wird daran das JS-Scriptlet angehaengt.
Das ist weiter kein Schaden, ausgefuehrt wird JS aber nicht ...


m. b. G. Norbert
_____________________
normal:  02682-966898
Notruf:  0163-3613642
---------------------
e.o.m.
----- Original Message -----
From: "Peter Prochaska" <peter.prochaska at datev.de>
To: "deutschsprachige PHP-Mailingliste" <php at phpbar.de>
Sent: Tuesday, October 11, 2005 1:15 PM
Subject: Re: [php] Zeitkontrolle


> Hi,
>
> Norbert Pfeiffer wrote:
> > Hi Peter,
> >
> > man kann die Paranoia auch uebertreiben !
>
> Was hat das mit Paranoia zu tun?
>
>
> > Ansonsten reicht hier der Ausschluss von Tippfehlern, und dann
> > sind DropDown-Felder eine gute und hinreichende Loesng.
>
> Aber du die SQL-Statements im unteren Bereich verwendest, ist eine SQL
> Injection möglich. Da du $_SERVER['PHP_SELF'] verwendest ist auch XSS
> möglich...
>
> > Bei berechtigten Sicherheitsbedenken bin ich immer fuer https,
> > damit man den ganzen Vorgang wirklich unter Kontrolle hat.
>
> SSL hilft dir bei solchen Manipulationen gar nichts.
>
> Gruß
> --
> Peter Prochaska
> Internet- und Securitydienste, P544
> DATEV eG
> Tel: +49 911 276-5187
> --
> ** Allgemeine deutschsprachige PHP-Liste: php at phpbar.de **
> Informationen: http://www.phpbar.de
> http://lists.phpbar.de/mailman/listinfo/php

php::bar PHP Wiki   -   Listenarchive