nicht angemeldet
Der MartinHallo,
Sieht jemand den Fehler?
Mehrere. Und zwar die üblichen:
- Keine Kontextwechselbeachtung in HTML und Datenbank - mit SQL-Injection könnte man die gesamte Tabelle löschen.
und jeder harmlose Spider, der mal mit den Formularfeldern "spielt", kann aus Versehen Einträge löschen, weil der Löschvorgang über einen GET-Request angestoßen wird. Das ist nicht gut - es gilt die Faustregel, dass Requests, die den Datenbestand verändern, möglichst per POST eingereicht werden. Eine wie auch immer geartete Authentifizierung wäre sicher auch keine schlechte Idee.
Ciao,
Martin
--
Chef: Zum vierten Mal in dieser Woche erwische ich Sie nun schon beim Zuspätkommen. Was haben Sie dazu zu sagen?
Angestellter: Dann muss heute Donnerstag sein.
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
Chef: Zum vierten Mal in dieser Woche erwische ich Sie nun schon beim Zuspätkommen. Was haben Sie dazu zu sagen?
Angestellter: Dann muss heute Donnerstag sein.
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(