Direkte Linkeingabe in Adresszeile des Browsers verweigern

**Wurzel** · 07.08.2004, 01:11

Re: Direkte Linkeingabe in Adresszeile des Browsers verweigern

Original geschrieben von sycoon
Nebenbei: Eine Überprüfung, ob der Surfer Adminrechte hat, wollte ich auf jeder einzelnen includeten Seite (News, Gästebuch, Mitgliederliste usw.) vermeiden.

"never trust incoming data" ... eine lücke ist eine lücke und bleibt auch eine. was du dir bisher denkst, ist eine offenes scheunentor und lädt dazu ein, deine site zu manipulieren.

**sycoon** · 07.08.2004, 01:24

Hallo Wurzel,

danke für die schnelle Antwort!

Tät bedeuten, es muss in jeder Seite, wo Veränderungen an der Page oder Datenbank gemacht werden können, eine penible Überprüfung stattfinden, ob der Surfer berechtigt ist?

Nun gut, sollte man nicht an falscher Stelle mit Codes sparen, gell?

Gruß
Marcus

**derHund** · 07.08.2004, 06:40

Tät bedeuten, es muss in jeder Seite, wo Veränderungen an der Page oder Datenbank gemacht werden können, eine penible Überprüfung stattfinden, ob der Surfer berechtigt ist?

ja, na sicher! wie kannst du nur auf die idee kommen, dies nicht zu tun?

ein $user->isLoggedIn() täts schon

**Wurzel** · 07.08.2004, 10:59

Original geschrieben von derHund
ein $user->isLoggedIn() täts schon

wenn er weiss, dass sessions sein freund sind

@sycoon
schau dir in den tutorials das usermanagement von mrhappiness an

**lx-club** · 07.08.2004, 11:05

ich hatte auch mal das "Problem", aber mit session gehts super und sind auch nich mehr als 2-3 zeilen code

**sycoon** · 07.08.2004, 12:26

Hi,

also, bei mir ist das so:

alles dreht sich um die index.php, die immer aufgerufen wird.

Links (kein Frame, eher alles Tables...) wird das Menü includet.
Je nachdem welche Rechte der Nutzer besitzt, wird ihm die "Nutzerecke" oder zusätzlich noch die "Adminecke" im Menü angezeigt, jeweils die entsprechenden Links drin.....

Im Mittelteil wird ja alles angzeigt, was ich so anklicke, logo...
das habe ich so realisiert: Der Link im Menü sieht etwa so aus:

index.php?modul=news

Naja, im Mittelteil include ich eine inhalt.php, diese behinhaltet jeeeede Menge if-Anw, so ne art case, also nicht inneinander verschachtelt.
Wenn modul=news, dann include news.php
wenn modul=gaestebuch, dann include gaestebuch.php usw.

vielleicht alles n bisl doppeltgemoppelt und viel zu kompliziert....

jetzt habe ich aber gestern abend mal probiert, als Gast, einfach mal folgende URL in den Browser zu tippen:

...... index.php?modul=newsadmin

Schwupps, hatte ich Adminrechte im Newsbereich, weil die inhalt.php ja dachte, okay in der If-Anw steht, wenn modul=newsadmin, dann include newsadmin.php *lol*

Ich bin ja lernfähig und werde mir mit sicherheit dieses empfohlene Tutorial reinziehen, hoffe das ihr mich insoweit verstanden habt, wie das bei mir läuft, habe auf den Code verzichtet, würde ihn aber posten, wenn ihr das wolltet....

Wenn ich grundsätzliche Fehler mache und euch was einfällt, bitte schreibt das ruhig.

Ach ja, so ein CMS wie Nuke oder ähnliches ist mir zu aufgeplustert, da peil ich echt den Code nur mangelhaft!

Gruß aus Berlin und schönes WE

Sycoon

Direkte Linkeingabe in Adresszeile des Browsers verweigern