nicht angemeldet
Mahlzeit emetiel,
Das heißt ich zeige ein Pulldown an in welchem alle Projekte stehen und nach der auswahl eines solchen wird dieses als Text angezeigt.
Jetzt zeige ich in einem Pulldown alle Teilprojekte an und nach auswahl wieder anzeige als Text.
Nun darfst Du eine Version eingeben. Dies ist die erste Eingabe, die validiert werden muss. Da alles andere ja aus der Datenbank kommt.
An dieser Stelle bist Du leider dem am weitesten verbreiteten Irrtum im Bereich Web-Entwicklung unterlegen - wie eigentlich alle Anfänger bzw. "Noch-nicht-so-weit-Fortgeschrittenen": nur weil Du in *irgendeinem* "vorherigen" Formular Werte aus einer Datenbank ausgelesen und damit Optionen einer Auswahlliste dargestellt hast, aus denen der Benutzer dann eine auswählen soll, bedeutet das noch lange nicht, dass in einem "späteren" Formular auch *nur* einer dieser Werte als GET- oder POST-Parameter auftaucht ... es gibt im Bereich HTTP kein "vorher" und "nachher". Jedes Server-seitige Skript kann mit beliebigen Parametern angesprochen werden. Du kannst nicht kontrollieren, woher diese Anfragen stammen - ob sie durch das von Dir zur Verfügung gestellte Formular generiert wurden, ob sich jemand dieses Formular z.B. lokal als HTML-Datei gespeichert, den Quelltext manipuliert und "einfach mal probiert" hat oder ob irgendein automagisiertes SPAM-Skript einfach mal alle möglichen URLs abklappert.
Merke: "ALL INPUT IS EVIL!"
Immer.
Du kommst *NIEMALS* daran vorbei, *ALLE* aus externen und damit per se unsicheren Quellen stammende Informationen (und dazu gehören insbesondere GET- und POST-Parameter) auf Gültigkeit zu überprüfen.
Das ganze soll eben nur "mal eben schnell" angepasst werden.
Ja - derartige Anforderungen kenne ich ...
Für eine Neuentwicklung, wenn wir sie denn machen dürfen dann acuh mit optischen Änderungen, werde ich Deine Tipp berücksichtigen und hoffentlich auch umsetzen dürfen.
Wenn nicht, solltest Du Deine(n) Vorgesetzten über die entsprechenden Risiken informieren.
Wir haben hier nämlich ein paar Regeln zuviel :((
Auch das kenne ich ... ;-/
MfG,
EKKi
sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|