Mailinglisten-Archive |
Hi Tobias, > > Wird jetzt das Script aufgerufen, schaut es, ob die ID passt. > Hm. Das heißt aber doch, wenn einer sich die URL vom Link im > Frame anschaut, die das Script aufruft, und die in seine Adresszeile > schreit, kriegt er eine korrekte Ausgabe - die ID ist vorhanden und > stimmt auch noch, weil das Temp-File noch da ist. es ist immer gut, zu der ID auch einen Timestamp zu legen und dann kann man auch noch den REFERER kontrollieren... Und wenn der mit > 5 sec ueberschritten ist, sollte auch eine vorhandene ID ungueltig werden... Ein Hacker muesste dann: - den REFERER faken - die index.php laden um an die ID zu kommen - den REFERER nochmals faken - und das alles noch unter Zeitdruck... Bloss wozu... <gruebel> > > Vorsicht: > > Keinen Redirekt via header(); verwenden, > > damit kann man keinen Frameset aufloesen. > Das habe ich jetzt nicht verstanden. > Warum kann ich keinen Redirekt auf die index.php ausführen? kanst Du, nur loest sich damit Frameset nicht auf, weil in header(); kein Target angegeben werden kann... Loest Du jedoch den Frameset nicht auf, wird die index.php im Frame aufgerufen, also ein Frameset in Frame... Probiere es am besten mal aus, siehste dann selbst... :-) m.b.G. Norbert ______________________ normal: 02292-681769 notfall: 0177-2363368 ---------------------- e.o.m.
php::bar PHP Wiki - Listenarchive