Hi,
ich habe eine PHP-Datei die durch ein Formular Strings bekommt (Post-Variante).
Nun könnte doch theoretisch jmd. eine eigene Formular-Datei schreiben und
die Formular-Felder wie meine bennen. Anschließen dann auch meine php-datei angeben und somit Sachen auf meiner Seite verändern, indem er zum Beispiel meiner delete-user PHP-Datei die ID eines Users schickt und der User gelöscht wird, obwohl ich das gar nicht will.
Ja, gut erkannt.
Er koennte auch genauso gut kein Formular nutzen, sogar nicht mal so etwas wie einen "Browser" - und einfach irgendwie anders einen POST-Request an deinen Server absetzen.
Habe ich eine möglicht, dass nur Dateien von meinem eigenen Webspace Post-Werte übergeben können?
Jein.
Den Referrer zu pruefen, ist bekannt unzuverlaessig.
Es laeuft also darauf hinaus, dass du eine Art Login-System zu implementieren hast, so dass der jenige, der etwas loescht, sich vorher als dazu berechtigt authentifizieren muss.
MfG ChrisB