Mahlzeit Lothar,

Frage ist trotzdem. Wo fängst an und wo hörst auf? Ich hab Dir ja schon beschrieben, was ich absichere.

Leider nur in einem Nebensatz.

Aber wer weiß schon, ob das ausreicht oder nicht?

Richtig: wer weiß das schon. Deine Leser jedenfalls nicht, wenn Du entsprechend detaillierte Informationen nicht lieferst. :-)

der Datensatz wird einfach deshalb nicht geändert, weil auf dem Server die Information vorhanden ist, dass er nicht geändert werden darf.

Nur, darum ging es in diesem Thread nie.

Nicht?

Änderung der Daten war ohnehin ausgeschlossen,

Das habe ich aber ganz anders verstanden.

es ging lediglich darum, dass der User das identische Formular zu sehen bekommt und aus diesem ein weiterer Datensatz generiert wird. Und hierfür hätte ich mir ein "readonly" für einige Formularelemente gewünscht.

Du schriebst in Deinem ursprünglichen Beitrag:

gibts ne Möglichkeit, die Veränderung eines input-fields zu verhindern und den Inhalt dennoch per POST weiterzugeben

Und die Antwort darauf hast Du erhalten: ja, die gibt es. Und zwar <http://de.selfhtml.org/html/referenz/attribute.htm#input@title=besitzt das <input>-Element das Attribut "readonly">.

Was genau ist Deine Frage hierzu bzw. Dein Problem damit?

Schon. Aber darum geht es gerade nicht. Es geht darum, einfachste und grundlegende Prinzipien der Formularverarbeitung mittels Webtechnologien, die schon vor 15 Jahren galten, zu verstehen und umzusetzen.

Nein, genau DARUM geht es gerade nicht. Es geht um die Einstellung zu diesem Thema.

Das war aus o.g. Eröffnungsbeitrag nicht abzusehen. Dabei handelte es sich um eine ganz normale Frage.

Darüber hinaus behaupte ich mal, dass die Einstellung zum Thema "Formularverarbeitung und Absicherung von Formularen bei Verwendung von Webtechnologien" bei allen anwesenden "alten Hasen" nahezu deckungsgleich oder doch zumindest sehr ähnlich ist.

Wie krank ist die Denkweise hier?

Frag nicht mich - frag den Anwalt Deines geringsten Misstrauens.

Es gelingt mir doch in 1000 anderen Bereichen auch, funktionierende Systeme zu zerstören oder "zu überlisten". Und auch da wird nicht zwingend die (Mit)schuld beim Hersteller gesucht.

Nicht? Das denke ich schon ...

Abgesehen natürlich davon, dass derart "schlampig" programmierte Anwendungen normalerweise *NIEMALS* irgendeine Form von Zertifikat erhalten werden

Was denn? Kein Jodeldiplom? Kein Gar nix? Oweia... *g*

Du magst darüber schmunzeln ...

Nicht nur ich ;-)

Du kennst den Unterschied zwischen Äpfeln und Birnen? Du hast angefangen, von kriminellen Benutzern und "Hackern" zu sprechen. Mir hingegen geht es einfach nur um eine vernünftige Absicherung einer offenbar webbasierten Anwendung. Und dazu gehört es eindeutig, die von "irgendwoher" stammenden Daten nicht einfach stumpf zu verarbeiten, sondern sie vorher auf Plausibilität zu überprüfen.

Nein. Das ist - insbesondere im Fall des Internets - das Mindestmaß an Sorgfalt, das man als Programmierer beachten muss.

Ich mache keine Internetanwendung.

Willst Du jetzt auch um Wortklauber werden? Du hast eindeutig von einem HTML-Formular gesprochen.

Es ist immer besser, seine Sache vernünftig zu machen, als sich darauf zu verlassen, dass andere brav sein werden (weil sie sonst auf die Finger bekommen) ... und anschließend nachträglich in Beweisnot zu geraten. Warum willst Du Dir das Leben unöntig schwer machen?

Ich mache beides. Die Sache vernünftig (weils weniger Arbeit macht, das gleich zu tun, als eventuell mal nacharbeiten zu müssen) und verlasse mich darauf, dass andere sich an die Gesetze halten.

Na, wenn Du die Sache vernünftig machst und alle "von außen" kommenden Daten auf dem Server bzw. in dem dort liegenden Skript auf Plausibilität überprüfst, hast Du doch gar kein Problem ... oder was habe ich nicht verstanden?

Genau darum geht es doch. Du überprüfst also die Werte, die ein (angebliches) Formular an Deinen Server schickt? Prima - davon rede ich die ganze Zeit.

Ich auch.

Interessant. Und welche Relevanz hat dann ein HTML-Formular, das *eine* Möglichkeit darstellt, Dein serverseitiges Skript mit Daten zu füttern? Richtig: nur bedingt.

Wenn es nur darum geht, dem Benutzer das gewohnte Formular auf den Bildschirm zu bringen: was genau ist Dein Problem mit dem "readonly"-Attribut?

Aber ich finde es, im Gegensatz zu Dir und anderen, nicht in Ordnung, dass ich unter Beweisnot geraten soll, wenn ich meinen Usern zu wenig kriminelle Energie (und wir reden hier tatsächlich von Kriminalität und nicht von Kavaliersdelikten!) unterstelle.

Nennst Du es kriminell, wenn durch einen Browserfehler falsche Daten an den Server abgeschickt werden und anschließend aufgrund fehlender Überprüfung der Daten anschließend alles Mögliche abraucht?

Überprüfung von Daten hat *IMMER* zu erfolgen - unabhängig von potentiell vorhandener Kriminalität irgendwelcher Benutzer.

Und die Darstellung auf der GUI (in diesem Fall im Browser) hat mit dieser Überprüfung absolut nichts zu tun.

MfG,
EKKi