Mailinglisten-Archive |
> Da die Daten =FCber Formulare transportiert und nicht > auf dem Server gehalten werden, ist hier die Gefahr > gro=DF, dass ein b=F6swilliger Angreifer die =FCber hidden- > Formulare weitergegebenen Daten so manipulieren kann, > dass sie in deiner Applikation zu Fehlfunktionen oder > gar zur Zerst=F6rung anderer Daten f=FChren. OK, alles klar - das hatte ich mir gedacht. Kann man aber entsch=E4rfen, wenn man IMMER ALLE Daten checkt, die aus dem Formular kommen. Also auch die hidden Fields. > Ein weiterer Nachteil ist, dass die Daten hierbei > nur =FCber Formulare weitergegeben werden k=F6nnen - was > ist, wenn der Benutzer auf > > <a href=3D"foo.php">Hier geht's weiter</a> > > klickt und die Daten trotzdem =FCbertragen werden > sollen? Man k=F6nnte via GET die Parameter an die > URL dranh=E4ngen, allerdings ist das einerseits > viel zu umst=E4ndlich und andererseits ist die L=E4nge > von GET limitiert (default beim Apache IIRC 2048 > Bytes). Naja, das ist ja eine Frage der Organisation. Wenn ich z.B. einen Anmeldedialog =FCber mehrere Seiten mache, bei dem die bereits eingegebenen Daten in hidden Fields gehalten werden, dann brauch ich ja so einen Link nicht. Holger
php::bar PHP Wiki - Listenarchive