Felix Riesterer: Ist es bei einer POST-Request nötig, den Submit-Button zu prüfen?

Beitrag lesen

Lieber Rolf,

Ob man Script-Kiddies damit scheitern lassen kann, einem Button außer einem name auch einen value zu geben?

eine Möglichkeit zur Vermeidung von XSS-Attacken: aus diesen beiden eine Art Schlüssel und Schloss machen. In einer Session legt man fest, welcher Wert im name- und welcher im value-Attribut stehen muss. Ansonsten wird der Request nicht akzeptiert und das Formular macht den Affen.

Denn letztlich interessiert Dich ja gar nicht, ob sign-in gesetzt ist. Dich interessiert:

  • Wurde gepostet
  • Sind die Formularfelder ausgefüllt

In meinen Projekten mache ich es mir einfacher:

  • Button übermittelt (Attribut-Wert des name-Attributs als Schlüssel in $_POST vorhanden)?
  • benötigte Daten erhalten (benötigte Schlüssel in $_POST vorhanden)?

In aller Regel verwende ich den Button dafür, dass das Script später weiß, was es zu tun hat. Dabei ist es dann egal, ob das Formular nur diesen einen Button hat, oder ob es mehrere gibt, die für unterschiedliche Aktionen gedacht sind.

Was übersehe ich hier, das fürchterlich schiefgehen könnte?

Just my 0,0391 Pfennige

Hihihi, Du hast also auch noch Zeiten erlebt, in denen man mit DM bezahlt hat.

Liebe Grüße

Felix Riesterer