[php] Cookie sicherheit

[Lutz Zetzsche]

Hallo Martin,

Martin Walper schrieb:
> Vielen Dank für den Hinweis, aber meine Frage bezieht sich mehr auf die
> Daten an sich.
> Sprich muss ich die Daten jedes mal neu validieren?
> Habe ein ein formular, das über mehrere Seiten aufgeteilt ist.
> Ich validiere die Daten und sammle sie in der Session, am ende wird dann
> alles in die DB gepackt.
> Muss ich nun auf jeder der einzelnen Seiten die gesamten Daten neu
> validieren?

grundsätzlich mußt Du jeden per GET oder POST übergebenen Wert sauber
validieren. Danach kannst Du ihn im Skript verwenden und u.a. auch in die
Session schreiben. Auf die Session bezogen formuliert, mußt Du nur die
Daten validieren, die Du neu übergeben bekommst und in die Session
schreibst. Bestandsdaten kannst Du als sicher voraussetzen.

Datenmanipulation aufgrund von Session-Hijacking kannst Du durch eine
Validierung nicht unbedingt erkennen, weil Daten ja auch gültig
manipuliert werden können (z.B. Benutzerkonto hacken, Lieferadresse
manipulieren und auf Kosten des eigentlichen Kontoinhabers bestellen). Um
sowas auszuschließen, müßtest Du halt die Session zusätzlich absichern, um
sicherzustellen, daß Du es immer mit demselben Benutzer zu tun hast.


Viele Grüße
Lutz