Hi,

nein, das ist keine Lücke.

Und ob das eine ist.

Da date und date2 immer nur automatisch festgelegte Werte vom Script zugewiesen bekommen und der Nutzer / Angreifer null Chance hat date oder date2 mit einem eigenem Wert zu belegen.

Natürlich hat er, die Werte werden doch per Formular übermittelt.

Stell dir das so vor, dass du eine Website in Form eines Kalenders hast und wenn ein Tag noch nicht belegt ist, entweder was reinschreiben kannst, womit dieser Tag dann belegt ist, oder einen der belegten Tage einfach löschen und damit freimachen kannst. Beides geschieht über eine <input type="hidden">, womit der date und date2 Wert festgelegt ist.

Niemand hindert mich, in eines dieser versteckten Inputfelder z.B. mit Firebug einen anderen Wert einzutragen, bevor ich das Formular abschicke.

(Und niemand hindert mich, dir einen POST-Request mit einem HTTP-Client, der nicht mal ein „Browser“ ist, zu schicken.)

Das einzige wo Benutzereingaben zustande kommen ist $_POST['name'], dass ich aber escape.

Auch $_POST['date'] und $_POST['date2'] werden durch den Client übermittelt – das ist das *einzige* Kriterium, das hier Bedeutung hat – und sind deshalb als unsicher zu betrachten.

Bitte augenblicklichst den Artikel:Kontextwechsel im Wiki durcharbeiten(!), komplett. Erst danach mit irgendwas anderem weitermachen.

MfG ChrisB