Mailinglisten-Archive |
On Sun, Sep 17, 2000 at 01:47:26AM +0200, Christian Toepp wrote: > > also ich behaupte mal, wenn > > > > a) der Reload zu nem GET request führt, der keine ID kodieren darf und > > b) du von dem Nutzer kein Cookie bekommen kannst > > dass einzige was du durch den Request noch erhältst, die jeweilige IP > > Adresse ist, die widerrum nicht aussagekräftig genug ist, um einen > > bestimmten User zu identifizieren... > > Wat nu? > Tja, ich habe da noch so eine kleine JavaScript-Function in Petto. > 'onunload()' nennt sich dass Ding. allerdings habe ich damit bis jetzt > auch nur eine GET-Zuweisung hinbekommen. Wenn ich es jetzt noch schaffe, > dieses Ding auf POST zu trimmen, kann ich endlich wieder schlafen gääähn > ;-)) MfG Chris POST ist im Prinzip genauso unsicher wie GET. Keiner hindert Dich daran, auf Port 80 des Webservers zu telnetten und dann eine _beliebige_ Post-Abfrage abzuschicken. Laß Dein Skript eine ID (per GET oder POST, egal) übergeben, die den User eindeutig identifiziert. Alle Variablen werden dann _nur_ lokal gehalten, und gehen gar nicht erst über die Leitung. Und in der ID (z.b. md5sum(crypt($UNIQUIE_ID)) oder sowas) steht absolut nix aussagekräftiges drin... wenn er die ändert verliert er halt seine Session, fettich. -- `Man sollte dem Verantwortlichen für ILOVEYOU alles http://www.linuxfaq.de mögliche antun, aber wahrscheinlich wird bloß http://www.hitchhikers.de seine Firma zweigeteilt." -- Usenet http://www.pinguin.conetix.de
php::bar PHP Wiki - Listenarchive