nicht angemeldet
Sicherheitsfrage zu Formularen
Hallo zusammen,
in meinem HTML-Formular habe ich ein Hidden-Field. Es wäre ja möglich, den Quelltext des Formulars lokal auf einem PC abzuspeichern, den Wert des versteckten Felds zu ändern und dann das Formular von dem PC aus an das zu verarbeitende Script zu senden.
Ich weiß, dass eine Lösung der Einsatz von Sessions ist.
Aber gibt es eine Möglichkeit festzustellen, ob das Formular auch wirklich von meiner Seite aus gesendet wurde, oder ob jemand versucht hat, das Formular zu manipulieren?
-
in meinem HTML-Formular habe ich ein Hidden-Field.
Aber gibt es eine Möglichkeit festzustellen, ob das Formular auch wirklich von meiner Seite aus gesendet wurde, oder ob jemand versucht hat, das Formular zu manipulieren?
Nein, nicht ohne zum Formular bzw. Vorgang gehörige, sensible Daten auf dem Server und damit für die böse Außenwelt nicht greifbar abzuspeichern.
-
in meinem HTML-Formular habe ich ein Hidden-Field. Es wäre ja möglich, den Quelltext des Formulars lokal auf einem PC abzuspeichern, den Wert des versteckten Felds zu ändern und dann das Formular von dem PC aus an das zu verarbeitende Script zu senden.
Ich weiß, dass eine Lösung der Einsatz von Sessions ist.Nicht wirklich...
Aber gibt es eine Möglichkeit festzustellen, ob das Formular auch wirklich von meiner Seite aus gesendet wurde, oder ob jemand versucht hat, das Formular zu manipulieren?
Das ist unwichtig. Wichtig ist, ob der Sender befugt ist, durch seine Inputs bestimmte Daten zu verändern. Um das zu entscheiden, brauchst du eine Session.
Rechne immer mit Manipulationen, und denke aber daran, dass die meisten Manipulationen nicht bösartig sind, sondern schlicht Vertippser.
Ich verschwende an die 100 Zeilen Code in meinem Perl Script auf dem Server, um User-Eingaben zu validieren bevor ich sie weiter verarbeite.
Dabei trage ich an wichtigen Stellen auch Sorge, alternative Eingaben zu erlauben und sie dann zu normalisieren.
Falls ich mit einer Eingabe nichts anfangen kann, ersetze ich sie durch einen Defaultwert.mfg Beat
-
Hallo Beat!
Ich weiß, dass eine Lösung der Einsatz von Sessions ist.
Nicht wirklich...
Um das zu entscheiden, brauchst du eine Session.Ach ja... Er braucht nicht wirklich Sessions, doch braucht er eine Session?
oder ob jemand versucht hat, das Formular zu manipulieren?
Das ist unwichtig.Ach nicht?
Rechne immer mit Manipulationen, und denke aber daran, dass die meisten Manipulationen nicht bösartig sind, sondern schlicht Vertippser
Ach ja? Wenn es Vertippser sind, sind es keine Manipulationen. In Deinem ganzen Posting ist lediglich der erste Teil des letztzitierten Satzes als hilfreich anzusehen, und den möchte ich eher wie Alexander (HH) formulieren:
_ALLE_ Benutzereingaben sind grundsätzlich als verdächtig und gefährlich einzustufen.
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
Nichts ist unmöglich? Doch!
Heute schon gegökt?
-
-
Hallo
Aber gibt es eine Möglichkeit festzustellen, ob das Formular auch wirklich von meiner Seite aus gesendet wurde, oder ob jemand versucht hat, das Formular zu manipulieren?
du kannst in der formular-php-datei eine session setzten und bei der auswertung überprüfen ob der wert stimmt
viele Grüße Tim
-
Mahlzeit,
Aber gibt es eine Möglichkeit festzustellen, ob das Formular auch wirklich von meiner Seite aus gesendet wurde,
Nein.
oder ob jemand versucht hat, das Formular zu manipulieren?
Nein.
Merke: "All input is evil!"
MfG,
EKKi--
sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|