nicht angemeldet
Hallo Sox,
Des öfteren habe ich gehört (bzw. gelesen), dass importierte
Parameter mit GET oder POST ein Sicherheitsrisiko darstellen. Kann
mir jemand sagen inwiefern? Wie kann jemand schaden anrichten?
Kennt jemand Seiten, wo dieses Problem genau beschrieben ist?
Ganz einfach: man kann so Variablen-Werte überschreiben. Beispiel:
<?php
if(logged_in()) {
$a = "value";
# tu nochwas
}
if($a == "value") {
tu_was_sicherheitskritisches();
}
?>
Jetzt rufe das Script mit script.php?a=value auf.
Grüße,
CK
--
Es ist uns nicht möglich, in einem Bereich unseres Lebens richtig zu verhalten, wenn wir in allen anderen falsch handeln. Das Leben ist ein unteilbares Ganzes.
Es ist uns nicht möglich, in einem Bereich unseres Lebens richtig zu verhalten, wenn wir in allen anderen falsch handeln. Das Leben ist ein unteilbares Ganzes.