Moin!

Wäre Euch sehr dankbar! Auch für andere Kretik wenn was auffällt!

Ich sammel mal während meines Besuchs:

1. Ohne Cookies kann man sich garnicht anmelden. PHP-Sessions gehen auch ohne Cookies. Zumindest einen textlichen Hinweis, daß Cookies unabdingbar sind, wäre schön.

2. AGB: Zwei unerklärliche Leerzeilen bei Punkt 7 und 10. Die Belehrung darunter verweist auf "die oben angegebe" Adresse, welche in Wirklichkeit aber drunter steht.

3. Es nervt, daß man ständig automatisch, aber ohne Beschleunigungsmöglichkeit auf die Kundenseite zurückkommt, beispielsweise nach Änderungen. Wenn der Tipp gegeben wird, sich Änderungen auch nochmal anzeigen zu lassen, wäre ein Link direkt zur Anzeigeseite ganz gut.

4. Javascript wird immer noch nicht rausgefiltert, ebenso sind beliebige HTML-Tags möglich.

5. Wie komme ich von der Anzeige des Angebots wieder zum Bearbeiten-Menü zurück? Die Browser-Zurücktaste kann es ja wohl nicht sein, oder?

6. Die persönlichen Daten des Testaccounts lassen sich nicht ändern, obwohl sie laut Meldung geändert wurden.

7. Ist bei deinem PHP die Option "Magic-quotes" eingeschaltet? Oder benutzt du "addslashes" für die Eintragung von Formularwerten? Wäre nämlich nicht gut, wenn jemand als Feldeintrag folgende Zeile eingibt:
irgendwas');DROP database zufallstreffer;restmüll

und dein PHP-Skript setzt das in dieses MYSQL-Statement um:
INSERT INTO tabelle (spalte) VALUES ('irgendwas');DROP database zufallstreffer;restmüll')

PS: Die Sicherheit kann man wirklich nur dann echt prüfen, wenn man auch den Quelltext der PHP-Skripte kennt. Denn sonst müßte man mühsam prüfen, welche Variablen denn im Skript vorkommen und ob die sich von außen nachteilig verändern lassen, während ein böser Mensch vielleicht aus Zufall drauf kommt.

- Sven Rautenberg