Tach!

Die Frage ist für mich, ob es sich lohnt, sowas zu untersuchen. Kann man machen, wenn man will. Aber man bekommt auch mit ordnungsgemäßen Requests Werte rein, die man nicht haben möchte, und die man nicht unbedingt mit technischen Mitteln finden kann, oder wo der Aufwand zu hoch ist, diese zu erkennen. Man muss also auch so ein Auge auf seine Daten haben.

Ich würde nur nehmen, was mich interessiert und den Rest ignorieren. Wenn das verwendete Framework eine Erkennung unangeforderter Keys enthält, dann ok, sonst mach ich mir den Aufwand nicht, ohne dass ein konkreter Angriff das als wirksame Gegenmaßnahme erzwingt.

dedlfix.