Mailinglisten-Archive |
Moin Thomas, moin Liste T> Irgendwie glaub ich fast, dass selbst sessions auf meiner Seite nix T> bringen beim reload-Schutz, da ja die Bewertung erst nach dem post T> in der nächsten index.php eine variable ist und gespeichert werden T> könnte. Das siehst Du richtig. Das Du mit Deinem Problem nicht allein dastehst und es leider auch keine perfekte (bzw. verhältnismäßige) Lösung für das Dilemma gibt, siehst Du hier: http://www.koehntopp.de/php/faq-scripts.html#scripts-2 Du muß letztlich abwägen - zwischen (plumb gesagt) offen und anfällig oder sicher und unbequem. Aber abseits von allen theoretischen Aspekten sollte man auch die Frage nicht aus dem Auge verlieren, warum ein Benutzer eigentlich motiviert sein sollte, sich die Mühe zu machen, eine Abstimmung zu manipulieren (und die meisten Versuche werden schon am POST scheitern). Ich kenne Deine Site nicht und weiß nicht, um was es bei Deiner Abstimmung geht, aber oft verkeilt man sich zu sehr darin, sich selbst zu beweisen, daß das Script sicher ist und übersieht dabei, daß man viele Stunden verschenkt und zig User durch die diversen Sicherheitsbarrieren verschreckt, und das wo sich eh keiner die Mühe machen würde, das Gegenteil zu beweisen... :) -- Stefan Schwardt.
php::bar PHP Wiki - Listenarchive