phpbar.de logo

Mailinglisten-Archive

[php] Aufruf des Skriptes in einem bestimmten Frameset erzwingen?

[php] Aufruf des Skriptes in einem bestimmten Frameset erzwingen?

Norbert Pfeiffer php_(at)_phpcenter.de
Wed, 16 May 2001 14:01:04 +0200


Hi Tobias,

> > Wird jetzt das Script aufgerufen, schaut es, ob die ID passt.
> Hm. Das heißt aber doch, wenn einer sich die URL vom Link im
> Frame anschaut, die das Script aufruft, und die in seine Adresszeile
> schreit, kriegt er eine korrekte Ausgabe - die ID ist vorhanden und
> stimmt auch noch, weil das Temp-File noch da ist.
es ist immer gut, zu der ID auch einen Timestamp zu legen
und dann kann man auch noch den REFERER kontrollieren...
Und wenn der mit > 5 sec ueberschritten ist, sollte auch eine
vorhandene ID ungueltig werden...
Ein Hacker muesste dann:
- den REFERER faken
- die index.php laden um an die ID zu kommen
- den REFERER nochmals faken
- und das alles noch unter Zeitdruck...
Bloss wozu... <gruebel>


> > Vorsicht:
> > Keinen Redirekt via header(); verwenden,
> > damit kann man keinen Frameset aufloesen.
> Das habe ich jetzt nicht verstanden.
> Warum kann ich keinen Redirekt auf die index.php ausführen?
kanst Du,
nur loest sich damit Frameset nicht auf, weil in header();
kein Target angegeben werden kann...
Loest Du jedoch den Frameset nicht auf, wird die index.php
im Frame aufgerufen, also ein Frameset in Frame...
Probiere es am besten mal aus, siehste dann selbst... :-)


m.b.G.  Norbert
______________________
normal:   02292-681769
notfall:  0177-2363368
----------------------
e.o.m.



php::bar PHP Wiki   -   Listenarchive