Hello,

ich habe mir überlegt, dass ja jemand ein Formular erstellen könnte, das als action= meine .php Seite angibt und meinen  Auswertungsmechanismus mit unerwarteten $_POST's manipulieren könnte. Nun meine Frage ist recht simpel: gibt es wirksame Methoden, sich gegen soetwas zu schützen, ausser den $_POST mühsam zu überprüfen und das ganze dann abzubrechen, wenn nicht erwartetes ankommt?

Ich rate mal, dass Du meinst, wie man sich gegen gefakte Post-Requests und damit verbundene falsche oder fehlende Parameter schützen kann?

Wenn man die POST-Methode zulässt, kann man sich gegen den Request selber gar nicht schützen, es sei denn, dass man ihn tunnelt, also überhaupt nur authentifizierte User mit ihrem Client an den Server heranlässt.

Sonst kannst Du z.B. mit Zugangsschlüsseln arbeiten, die der Client sich kurz vorher mit dem Request holen muss. Das führt aber zu einem hohen Verwaltungsaufwand, da sowohl alle verbrauchten Schlüssel, als auch alle noch nicht abgelaufenen zur Verbesserung der Fehlererkennung gespeichert werden sollten.

Als Basis arbeitet man dann sowieso mit einer Session. In der Session ist bekannt, welche Dialog-Elemente man dem Client gesendet hat und welche man davon zurück erwartet. Denke daran, dass Radiogroups, Checkboxen und Selcts nur dann zurückkommen, wenn sie auch benutzt wurden. Da musst Du ja eventuell sowieso die Fehlanzeige auffüllen mit "false"...

Liebe Grüße aus Syburg

Tom vom Berg