Nein. Warum auch? Was planst du? Insbesondere: Was soll das Angriffsszenario sein?

• Sven Rautenberg

Hi,

danke euch Beiden.

Ich möchte nicht, dass durch einfache Parameterveränderung bei der URL möglicherweise ein Benutzer etwas sehen kann, was nicht sein soll.

Ich sichere die Abfragen von Daten ja immer ab, dass ein Kunde immer nur seine Daten sieht und wenn er versucht die ID zu ändern, eine leere Rückgabe bzw. keine bekommt, wenn hinter dieser ID nicht seine CustomerID liegt.

Mir geht es nur darum, dass man soetwas nicht in der URL sehen kann.

Das ganze jedesmal per Session mitzugeben scheint mir auch nicht gerade mit wenig Aufwand verbunden zu sein?