Lieber Rolf,
Ob man Script-Kiddies damit scheitern lassen kann, einem Button außer einem name auch einen value zu geben?
eine Möglichkeit zur Vermeidung von XSS-Attacken: aus diesen beiden eine Art Schlüssel und Schloss machen. In einer Session legt man fest, welcher Wert im name
- und welcher im value
-Attribut stehen muss. Ansonsten wird der Request nicht akzeptiert und das Formular macht den Affen.
Denn letztlich interessiert Dich ja gar nicht, ob sign-in gesetzt ist. Dich interessiert:
- Wurde gepostet
- Sind die Formularfelder ausgefüllt
In meinen Projekten mache ich es mir einfacher:
- Button übermittelt (Attribut-Wert des
name
-Attributs als Schlüssel in$_POST
vorhanden)? - benötigte Daten erhalten (benötigte Schlüssel in
$_POST
vorhanden)?
In aller Regel verwende ich den Button dafür, dass das Script später weiß, was es zu tun hat. Dabei ist es dann egal, ob das Formular nur diesen einen Button hat, oder ob es mehrere gibt, die für unterschiedliche Aktionen gedacht sind.
Was übersehe ich hier, das fürchterlich schiefgehen könnte?
Just my 0,0391 Pfennige
Hihihi, Du hast also auch noch Zeiten erlebt, in denen man mit DM bezahlt hat.
Liebe Grüße
Felix Riesterer