phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Wie <form><input> von Seite zu Seite behalten?

Henning Heil lists at h-quadrat.com
Mon Jul 7 00:16:11 CEST 2008

Nächste Nachricht: [php] Wie <form><input> von Seite zu Seite behalten?
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Yannik Hampe schrieb:
> Hartmut Holzgraefe wrote:
>   
>> Christian Knorr wrote:
>>     
>>>> entweder als "<input type='hidden' ..." von Hand mitschleppen oder
>>>> einfach PHP Sessions benzutzen?
>>>>         
>>> Danke für den Tip, ich würde mich jetzt für 'hidden' entscheiden.
>>> Hast Du mal einen Link für mich, wo das erläutert wird?
>>> Konnte auf SELFHTML nichts finden.
>>>       
>> http://de.selfhtml.org/html/formulare/versteckte.htm
>>
>> aber glaub mir, Du willst Sessions benutzen ...
>>     
>
> ähm... NEIN?!?!
>
> Wenn du Sessions drin hast, baust du dir eine völlig neue Fehlerquelle 
> ein: Probleme mit Cookies oder dem anhängen der Sessionid an links und 
> Formulare, unnötige Serverseitige Speicherung  von Daten auf dem Server 
> (besonders, wenn der Nutzer das mehrschrittige Formular nicht zu Ende 
> führt), timeouts (der Nutzer ärgert sich zu Tode, wenn er nochmal neu 
> anfangen muss, weil er zwischendrin eine Pause eingelegt hat und die 
> Ergebnisse von seinen vorherigen Schritten auf einmal weg sind und er 
> neu anfangen darf...).
>
> So ein blödes <input>-Feld ist dagegen das simpelste der Welt...
>   
sicher einfach, ABER: ich bin zwar kein ausgesprochener 
Security-Spezialist (Sammy hilf), aber freilich wäre ich für den 
Vorschlag anstelle die Daten auf meinem sicheren Server übersichtlich in 
einer Session zu halten, sie stattdessen in den Quellcode zu schreiben 
und jedesmal zu client auszuliefern (wo sie dann für jedewede Art von 
Manipulation bereitstehen) beim meinem letzten security-Chef quer durchs 
Büro gefolgen.
Man kann sich das mit den hidden-fields nur leisten, wenn man es mit 
'pille-palle'-Daten zu tun hat, ich meine sogar mich zu erinnern, dass 
hidden-fields in den OWASP top 10 der webDev-NoGos stehen.

Die Handhabung von Sessions ist denkbar einfach und keineswegs so 
kompliziert, wie Du es aufzeigst, die bessere Lösung wären sie für 
diesen Fall also allemal gewesen er hätte persönlich in Sachen 
Technologie auch noch einen Schritt nach vorne gemacht. Man kann daher 
Herrn Mendel nur bepflichten: "Du willst Sessions benutzen".

Viele Grüsse,

Henning

Nächste Nachricht: [php] Wie <form><input> von Seite zu Seite behalten?
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive