Tweet
Hi,
Ich habe ein Formular, das bedingt durch eine selectbox nur bestimmte Einträge zulässt.
D.h. (hab ich zumindest kürzlich noch geglaubt) man weiss sicher, welche Werte die übergebene $select-Variable hat.
Ich hab mir nicht mehr sehr viel dabei gedacht und auch eine überprüfung des Wertes von $select eingespart. Diese Variable wird einfach in die db geschrieben.
Jetzt hab ich mir gedacht, dass es vielleicht möglich wäre (und wahrscheinlich auch ist) für einen beliebigen internetsurfer, ein ähnliches Formular nachzuschreiben und es (per action-Attribut) auf meine php-Seite weiterzuleiten. Damit könnte er praktisch beliebige Werte der Variablen $select zuweisen.
Jetzt meine Frage(n):
1. Habe leider z.Z. keinen webspace auf dem ich das testen könnte, aber ist das möglich?
2. Kann ich das verhindern, ohne großartig alle Formulare meiner HP nach dieser Sicherheitslücke zu durchleuchten?
Ps: vielleicht steh ich auch total aufm Schlauch, es ist schon etwas spät...
Ich habe ein Formular, das bedingt durch eine selectbox nur bestimmte Einträge zulässt.
D.h. (hab ich zumindest kürzlich noch geglaubt) man weiss sicher, welche Werte die übergebene $select-Variable hat.
Ich hab mir nicht mehr sehr viel dabei gedacht und auch eine überprüfung des Wertes von $select eingespart. Diese Variable wird einfach in die db geschrieben.
Jetzt hab ich mir gedacht, dass es vielleicht möglich wäre (und wahrscheinlich auch ist) für einen beliebigen internetsurfer, ein ähnliches Formular nachzuschreiben und es (per action-Attribut) auf meine php-Seite weiterzuleiten. Damit könnte er praktisch beliebige Werte der Variablen $select zuweisen.
Jetzt meine Frage(n):
1. Habe leider z.Z. keinen webspace auf dem ich das testen könnte, aber ist das möglich?
2. Kann ich das verhindern, ohne großartig alle Formulare meiner HP nach dieser Sicherheitslücke zu durchleuchten?
Ps: vielleicht steh ich auch total aufm Schlauch, es ist schon etwas spät...
Kommentar