phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Wie <form><input> von Seite zu Seite behalten?

Yannik Hampe yannik at cipher-code.de
Mon Jul 7 00:52:25 CEST 2008

Vorherige Nachricht: [php] Wie <form><input> von Seite zu Seite behalten?
Nächste Nachricht: [php] Wie aus einem Wert einen Parameter machen?
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]


Henning Heil wrote:
> Yannik Hampe schrieb:
>> Hartmut Holzgraefe wrote:
>>   
>> Wenn du Sessions drin hast, baust du dir eine völlig neue Fehlerquelle 
>> ein: Probleme mit Cookies oder dem anhängen der Sessionid an links und 
>> Formulare, unnötige Serverseitige Speicherung  von Daten auf dem Server 
>> (besonders, wenn der Nutzer das mehrschrittige Formular nicht zu Ende 
>> führt), timeouts (der Nutzer ärgert sich zu Tode, wenn er nochmal neu 
>> anfangen muss, weil er zwischendrin eine Pause eingelegt hat und die 
>> Ergebnisse von seinen vorherigen Schritten auf einmal weg sind und er 
>> neu anfangen darf...).
>>
>> So ein blödes <input>-Feld ist dagegen das simpelste der Welt...
>>   
> sicher einfach, ABER: ich bin zwar kein ausgesprochener 
> Security-Spezialist (Sammy hilf), aber freilich wäre ich für den 
> Vorschlag anstelle die Daten auf meinem sicheren Server übersichtlich in 
> einer Session zu halten, sie stattdessen in den Quellcode zu schreiben 
> und jedesmal zu client auszuliefern (wo sie dann für jedewede Art von 
> Manipulation bereitstehen) beim meinem letzten security-Chef quer durchs 
> Büro gefolgen.

Ich find das jetzt nicht so Klasse begründet. Ich weiss garnicht, wie 
ich darauf antworten soll, ohne dass es eine klassische Flamemail wird. 
Also lasse ich es. Wir hatten schon so lange keine guten Flames mehr :-):

Aja... Und die Daten, die da im hidden-Feld stehen sind nicht zufällig 
Daten, die eh schon vom Client übers Internet kamen und die man auch im 
ersten Schritt schon so manipulieren konnte, wie man es für richtig hält?
Ich mein gut, bei den Sessions kann ich die pro Variable nur eine 
Gelegenheit diese zu manipulieren und mit hidden-fields habe ich die 
Chance ein paar mal mehr. Aber wenn du mir erklärst, wie dass die Sache 
unsicherer macht...
Dein security-Chef würde bei mir aus dem Büro fliegen, wenn er behaupten 
würde die Sessionlösung wäre sicherer :-P.

> Die Handhabung von Sessions ist denkbar einfach und keineswegs so 
> kompliziert, wie Du es aufzeigst, die bessere Lösung wären sie für 
> diesen Fall also allemal gewesen er hätte persönlich in Sachen 
> Technologie auch noch einen Schritt nach vorne gemacht. Man kann daher 
> Herrn Mendel nur bepflichten: "Du willst Sessions benutzen".

"Einfach" ist relativ. Im Vergleich zu anderen Dingen sind Sessions ein 
kinderspiel. Aber bei der aktuellen Diskussion geht es ja um eine 
session für ein mehrstufiges Formular vs. hidden fields. Und dabei sind 
die hidden fields einfach die einfachere, schnellere und weniger 
fehleranfällige Lösung.
Und was den persönlichen Fortschritt in der Technologie angeht: Ich 
würde auch einen persönlichen Fortschritt in der Technologie machen, 
wenn ich meinen guten alten dvd-Player wegschmeisse und stattdessen 
einen PC dahin stelle, mit dem man viel mehr machen kann.
Allerdings startet der dvd-player in 5 Sekunden und verbraucht nur ein 
paar Watt. Warum sollte ich da was daran was ändern?
> 
> Viele Grüsse,
> 
> Henning
> 

Yannik

Vorherige Nachricht: [php] Wie <form><input> von Seite zu Seite behalten?
Nächste Nachricht: [php] Wie aus einem Wert einen Parameter machen?
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive