nicht angemeldet
übrigens sind die daten nicht wirklich unsichtbar, sie erscheinen nur nicht in der adressleiste. für firefox gibt es eine ganze reihe an addons, mit denen man alle daten, die der browser an eine website übermittelt, also auch post- und get-daten, einsehen kann.
»»
Hallo grauerkoala,
auch an Dir ein danke für die antwort!
Mir ist klar das eingegebene Daten die per POST (z.B. Value) gesendet werden sichtbar sind! Hierfür braucht man keine speziellen Addons um diese zu sehen. Ein blick in den Quelltext reicht aus! Es ging mir in erster Linie nur darum Manipulationen am Include Script selbst zu Unterbinden. Mit GET könnte man fremde Scripte einschleusen wenn auf dem Server allow_url_fopen aktiviert ist! Dieses wird durch if (count($_GET)>0) unterbunden.
Auch kann man über die Eingabefelder die per POST gesendet werden scripte einschleusen wenn diese nicht auf bösen Code geprüft werden! Prüfungsmöglichkeiten hätte man ja genug wie z.B. strip_tags, nach Wörter wie <?php suchen etc. pp.!
Leider bin ich jetzt noch unsicherer geworden und ich bitte euch mein überarbeitetes script noch mal anzuschauen:
Beispiel formular.php:
<?php
if (count($_GET)>0)
{
echo ‘SPAM VERDACHT’;
exit();
}
?>
<?php
if (isset($_POST['absenden'])) {
$kontrolle = 'formularscript.php';
if (file_exists($kontrolle))
{
include('formularscript.php');
}
else
{
echo ’Durch einen unerwarteten Fehler kann das Formular nicht bearbeitet werden!<br><br>’;
echo ’Bitte versuchen Sie es morgen erneut!’;
exit();
}
etc……
Beispiel Inkludierte Seite formularscript.php:
<?php
if (count($_GET)>0)
{
echo ‘SPAM VERDACHT’;
exit();
}
?>
<?php
if (isset($_POST['wasauchimmer'][1]))
{
$_POST['wasauchimmer'][1] = trim(strip_tags($_POST['wasauchimmer'][1]));
}
else
{
echo ‘SPAM VERDACHT’;
exit();
}
if ($_POST['wasauchimmer'][1] !== "")
{
echo ‘SPAM VERDACHT’;
exit();
}
etc……
Könnte man dieses so lassen oder ist das ein absolutes Sicherheitsrisiko?
Danke für eure Hinweise!!!
Mit freundlichen Grüßen,
Berlinn
Der Martin