Direkte Linkeingabe in Adresszeile des Browsers verweigern

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Direkte Linkeingabe in Adresszeile des Browsers verweigern

    Hallo Leute,

    ich stapel gerade ein bischen hoch und will ein eigenes kleines CMS programmieren! Login, Logout über DBank geht schon,

    Im Menü links steht für Gäste und angemeldete User der Link 'News' und für Admins zusätzlich der Link 'News Admin' - jenachdem wer angemeldet ist.

    Nun zu meiner Frage: Habe irgendwie den Blackout, wie ich die direkte Eingabe in die Adresszeile 'http://www.meineseite.de/index.php?modul=newsadmin.php' verweigern kann? Der Surfer kennt die newsadmin.php ja eigentlich nicht, aber er könnte sich so Zutritt zum Newssystem verschaffen.
    Nebenbei: Eine Überprüfung, ob der Surfer Adminrechte hat, wollte ich auf jeder einzelnen includeten Seite (News, Gästebuch, Mitgliederliste usw.) vermeiden.

    Vielleicht komme ich ja da nicht drum herum, hat sowas in dieser Richtung schon mal wer programmiert? In welche Richtung muss ich gehen, wäre nett mich mal anzuschieben *lol*

    Gruß
    Sycoon
    Es kann nur noch besser werden!

  • #2
    Re: Direkte Linkeingabe in Adresszeile des Browsers verweigern

    Original geschrieben von sycoon
    Nebenbei: Eine Überprüfung, ob der Surfer Adminrechte hat, wollte ich auf jeder einzelnen includeten Seite (News, Gästebuch, Mitgliederliste usw.) vermeiden.
    "never trust incoming data" ... eine lücke ist eine lücke und bleibt auch eine. was du dir bisher denkst, ist eine offenes scheunentor und lädt dazu ein, deine site zu manipulieren.
    Kissolino.com

    Kommentar


    • #3
      Hallo Wurzel,

      danke für die schnelle Antwort!

      Tät bedeuten, es muss in jeder Seite, wo Veränderungen an der Page oder Datenbank gemacht werden können, eine penible Überprüfung stattfinden, ob der Surfer berechtigt ist?

      Nun gut, sollte man nicht an falscher Stelle mit Codes sparen, gell?

      Gruß
      Marcus
      Es kann nur noch besser werden!

      Kommentar


      • #4
        Tät bedeuten, es muss in jeder Seite, wo Veränderungen an der Page oder Datenbank gemacht werden können, eine penible Überprüfung stattfinden, ob der Surfer berechtigt ist?
        ja, na sicher! wie kannst du nur auf die idee kommen, dies nicht zu tun?

        ein $user->isLoggedIn() täts schon
        Die Zeit hat ihre Kinder längst gefressen

        Kommentar


        • #5
          Original geschrieben von derHund
          ein $user->isLoggedIn() täts schon
          wenn er weiss, dass sessions sein freund sind

          @sycoon
          schau dir in den tutorials das usermanagement von mrhappiness an
          Kissolino.com

          Kommentar


          • #6
            ich hatte auch mal das "Problem", aber mit session gehts super und sind auch nich mehr als 2-3 zeilen code

            Kommentar


            • #7
              Hi,

              also, bei mir ist das so:

              alles dreht sich um die index.php, die immer aufgerufen wird.

              Links (kein Frame, eher alles Tables...) wird das Menü includet.
              Je nachdem welche Rechte der Nutzer besitzt, wird ihm die "Nutzerecke" oder zusätzlich noch die "Adminecke" im Menü angezeigt, jeweils die entsprechenden Links drin.....

              Im Mittelteil wird ja alles angzeigt, was ich so anklicke, logo...
              das habe ich so realisiert: Der Link im Menü sieht etwa so aus:

              index.php?modul=news

              Naja, im Mittelteil include ich eine inhalt.php, diese behinhaltet jeeeede Menge if-Anw, so ne art case, also nicht inneinander verschachtelt.
              Wenn modul=news, dann include news.php
              wenn modul=gaestebuch, dann include gaestebuch.php usw.

              vielleicht alles n bisl doppeltgemoppelt und viel zu kompliziert....

              jetzt habe ich aber gestern abend mal probiert, als Gast, einfach mal folgende URL in den Browser zu tippen:

              ...... index.php?modul=newsadmin

              Schwupps, hatte ich Adminrechte im Newsbereich, weil die inhalt.php ja dachte, okay in der If-Anw steht, wenn modul=newsadmin, dann include newsadmin.php *lol*

              Ich bin ja lernfähig und werde mir mit sicherheit dieses empfohlene Tutorial reinziehen, hoffe das ihr mich insoweit verstanden habt, wie das bei mir läuft, habe auf den Code verzichtet, würde ihn aber posten, wenn ihr das wolltet....

              Wenn ich grundsätzliche Fehler mache und euch was einfällt, bitte schreibt das ruhig.

              Ach ja, so ein CMS wie Nuke oder ähnliches ist mir zu aufgeplustert, da peil ich echt den Code nur mangelhaft!

              Gruß aus Berlin und schönes WE

              Sycoon
              Es kann nur noch besser werden!

              Kommentar

              Lädt...
              X