nicht angemeldet
Sicherheit von DB und skripten gewährleisten
Hi,
ich hab da mal ne generelle Frage(n) zu der Sicherheit von Websites, also nehmen wir mal als Beispiel einen Shop. Wie kann man gewährleisten, das nicht irgendein user der auch mal in die quelltexte guckt nicht direkt das skript aufruft das meinetwegen für das einfügen von Produkten in den Warenkorb zuständig ist? Oder generell irgendwelche seiten aufruft die eigentlich Post oder Get Variablen erwarten und durch deren fehlen riesige Fehlermeldungen generieren.
Ich hab (lang ists her) mal gelernt das dafür session geeignet sind, aber wie? Weil wenn ich vor jedes skript ein session_start() setze, dann halte ich doch auch niemanden davon ab die Seite / Skript direkt aufzurufen. Hat da vielleciht irgendwer erfahrung mit bzw. ne idee wie sowas zu vermeiden bzw bewerkstelligen ist?
schönen Gruß
.dan.One.
-
du könntest z.b. die Referer mitschreiben, und ein vernünftiges "Sessioning" benutzen. Dann sollte es fast ausgeschlossen sein, daß jemand die Werte Manipuliert...
andere sensible Daten sollten garnicht im Source (dem Formular) erscheinen (z.b. Preise). Die lassen sich ja später anhand von Artikelnummern aus der DB lesen.
hoffe die Antwort hat Dir geholfen.
mfG Markus-
Hi,
du könntest z.b. die Referer mitschreiben, und ein vernünftiges "Sessioning" benutzen.
definier doch mal bitte vernünftig. das ist es ja was ich will aber ich bin mir unsicher wann es sicher ist und wann nicht.
andere sensible Daten sollten garnicht im Source (dem Formular) erscheinen (z.b. Preise). Die lassen sich ja später anhand von Artikelnummern aus der DB lesen.
hmm...gute idee..
hoffe die Antwort hat Dir geholfen.
danke
.dan.One.
-
-
Hi,
warum überprüfst du nicht einfach am Anfang des Skriptes ob die Variablen vorhanden sind?
Gruß Lanthan
-
hi,
Ich hab (lang ists her) mal gelernt das dafür session geeignet sind, aber wie? Weil wenn ich vor jedes skript ein session_start() setze, dann halte ich doch auch niemanden davon ab die Seite / Skript direkt aufzurufen.
das nicht.
aber wenn keine gültige sessions existiert, gibst du halt einfach nur ein "sorry, das wird so nichts" aus.
gruss,
wahsaga-
hi,
wie ich in einem anderen Post dieses Threads schon gefragt habe: wie willst du das realisieren? ich meine du startest mit session_start() wie willst du dann anschließend noch die gültigkeit überprüfen?
schönen Gruß
.dan.One.
-
hi,
wie ich in einem anderen Post dieses Threads schon gefragt habe: wie willst du das realisieren? ich meine du startest mit session_start() wie willst du dann anschließend noch die gültigkeit überprüfen?
zu erst mal muss sich der user ja irgendwie authentifizieren - meinetwegen über ein login-formular.
nachdem die daten geprüft wurden, speicherst du $eingeloggt = true in deiner session.auf allen folgeseiten überprüfst du dann den wert dieser session-variablen ab, wenn das true ist, gibst du die top-secret daten aus, wenn nicht, sagst du einfach nur, dass der user sich zuerst einloggen soll.
gruss,
wahsaga
-
-