nicht angemeldet
Nur bestimmen Dateien Zugriffsrecht geben
Guten Tag,
ich habe eine PHP-Datei die durch ein Formular Strings bekommt (Post-Variante).
Nun könnte doch theoretisch jmd. eine eigene Formular-Datei schreiben und
die Formular-Felder wie meine bennen. Anschließen dann auch meine php-datei angeben und somit Sachen auf meiner Seite verändern, indem er zum Beispiel meiner delete-user PHP-Datei die ID eines Users schickt und der User gelöscht wird, obwohl ich das gar nicht will. Habe ich eine möglicht, dass nur Dateien von meinem eigenen Webspace Post-Werte übergeben können?
Ich hoffe ich habe mich verständlich ausgedrückt.
Lg, Delfried
-
Hi,
ich habe eine PHP-Datei die durch ein Formular Strings bekommt (Post-Variante).
Nun könnte doch theoretisch jmd. eine eigene Formular-Datei schreiben und
die Formular-Felder wie meine bennen. Anschließen dann auch meine php-datei angeben und somit Sachen auf meiner Seite verändern, indem er zum Beispiel meiner delete-user PHP-Datei die ID eines Users schickt und der User gelöscht wird, obwohl ich das gar nicht will.Ja, gut erkannt.
Er koennte auch genauso gut kein Formular nutzen, sogar nicht mal so etwas wie einen "Browser" - und einfach irgendwie anders einen POST-Request an deinen Server absetzen.Habe ich eine möglicht, dass nur Dateien von meinem eigenen Webspace Post-Werte übergeben können?
Jein.
Den Referrer zu pruefen, ist bekannt unzuverlaessig.Es laeuft also darauf hinaus, dass du eine Art Login-System zu implementieren hast, so dass der jenige, der etwas loescht, sich vorher als dazu berechtigt authentifizieren muss.
MfG ChrisB
-
Hi,
ok danke, so arbeite ich auch bisher, dass ich das Userlvl des eingeloggten in einer Session speichere und somit am anfang mit header auf eine andere Datei dann verweiße.
Vielen Dank,
Gruß Delfried
-