ChrisB: Datensatzlöschung kontrollieren

Beitrag lesen

Hi,

Bei der Ausgabe von Datensätzen aus einer MYSQL-Datenbank ist bei jedem Datensatz dessen Löschung möglich. Die entsprechende ID wird mit der URL an jene php-Ressource, die für die Löschung des Datensatzes zuständig ist, übergeben.

Das per GET zu machen, ist gefährlich.
Da kann dir schon ein Suchmaschinen-Bot, der die Links abgrast, alle Datensätze löschen.
Und selbst wenn als zusätzliche Sicherungsmaßnahme der aktuelle Benutzer eingeloggt sein muss, um Löschen zu dürfen, kann immer noch ein „Prefetch“-Feature im Browser o.ä. das gleiche bewirken.

Faustregel: Für Daten verändernde Requests immer POST nehmen.

MfG ChrisB

--
RGB is totally confusing - I mean, at least #C0FFEE should be brown, right?