Hallo Sandra,

nein, du machst Dir nicht zuviele Gedanken.Du hast vollkommen recht. Genau das sind die Angriffspunkte die z.B. von Spammern bei Mailformularen genutzt werden.

Das einzige was Du machen kannst, ist serverseitiges Abfangen solcher Eingaben. Was schon gar nicht geht ist einfach Usereingaben ungeprueft in Datenbankabfragen zu Uebernehmen. Das ist z.B. das Tor fuer SQL-Injections!

Da der User normalerweise Herr uber seinen Client ist und diesen zu allem bringen kann, was er will ist es die Aufgabe der Programmierer Serverseitig fuer Sicherheit zu schaffen.

Als Beispiel nehme ich einmal ein Mailformular, in dem man den Empfaenger waehlen kann:

Es ist einfach, in einer Select Liste Namen aufzufuehern deren Mailadressen gleich in den Optionen stehen. Hier gibt der client die Mailadresse an den Server weiter der sie nimmt und als Zieladresse in eine Mail einfuegt. Jetzt kann man nicht nur locker eine beliebeige Mailadresse dort einfuegen, sondern gleich nen ganzen Haufen und dein Server verschickt lustig Spammails.

Das kann man umgehen indem nur Codes uebergeben werden. Daskann eine ID sein oder auch der Name des Empfaengers. Wichtig ist, dass das serverseitige tool erst Diese ID intern in eine Mailadresse umwandelt. Schon ist diese Luecke dicht, weil unbekanntes abgefangen und verworfen wird.

Je nach Eingaben musst Du dir entsprechende sicherungen programmieren. Grundsaetzlich ist ein Web Programm so sicher, wie man es macht.