Sicherheitsfrage bzgl. Parameterübergabe per Link

**Schnoop** · 22.09.2005, 19:19

Erweiter deine Angebotsdatenbank um ein Feld "owner" z.B.

Da schreibst du dann die ID des Users rein. Und so kannst du das ganze absichern.

**TobiaZ** · 22.09.2005, 19:35

@schnoop: das hat er ja vor.

@nullblicker: wenn du dein programm vernünftig struckturieren (das gehört zur anwendungsentwicklng dazu) würdest, dann hättest du nicht das problem, dass die ausgabe vor der Abfrage erfolgt.
Wie man die ausgabe unterbinden kann, steht zur not hier im Forum. Auch wenn ich das eher suboptimal finde.

**Master0Blicker** · 22.09.2005, 19:35

Nene, du hast das nicht ganz verstanden....

Was die DB angeht ist alles klar einzuordnen!
Jedes Angebot hat bereits die zugehörige User-ID!

Mir geht es nur darum beim klick auf den Link 'Angebot ändern' wird die Angebots-ID mitübergeben!

Jetzt kann ein ganz schlauer darauf kommen den Link so zu manipulieren das er eine nicht ihm gehörende ID einträgt und den Link abschickt!
Und wenn er als ein anderer User angemeldet ist klappt das auch weil meine Index.php nur nachprüft ob der User sich angemeldet hat und sich seine User-Id merkt!

Code:

 

if(isset($HTTP_GET_VARS['section'])) $section = $HTTP_GET_VARS['section'];
switch($section)
{
.
.
.
case "bearbeiten":
	//Angebote bearbeiten
	if($_SESSION['angemeldet']=='ja')
		include "bearbeiten.php";
	else
		include "login.php";
		
	break;
.
.
.
}

Aber hier wird nicht überprüft ob die Angebots-ID dem angemeldeten User entspricht weil das kann ich erst machen in dem 'includeten' Teil weil dieser greade diesen Parameter erwartet!

Aber, mit geht es darum ob ich per META-Umleitung wieder zurückleiten kann sollte bei der späteren Überprüfung sich herausstellen das die Angebots-ID nicht dem angemeldeten User entspricht!

Gehen tut das schon bei mir, nur weis ich nicht mehr genau ob man diese META-Umleitung auch 'deaktivieren' kann im Browser.....

Also ich lasse erstmal den Zielbereich includen und dort gleich am Anfang wird per SQL geprüft ob Angebots-ID dem angemeldeten User entspricht. Falls ja geht das wie gehabt weiter, falls nein eine Umleitung zurück auf die Startseite! Kann man dass als User umgehen ?

**Master0Blicker** · 22.09.2005, 19:38

@TobiaZ

Das Problem ist dabei: es geht nicht anderst!
Ich hätte auch gleich im Kopf der Index.php abfragen können aber nicht jeder Link beinhaltet Angebots-ID sondern nur ein paar!
Also muss ich die Überprüfung in ein 'Sub-Bereich' verschieben! Da ist aber bereits etliches Ausgegeben worden wie z.B. das ganze Gerüst und kann daher header nicht mehr nutzen!
Ist ein wenig Paradox......

Aber META-Umleitung mit 0 Sekunden verzögerung ist ja auch schon gut, aber nur wenn man das nicht Umgehen könnte.....und das ist eigentlich meine Kernfrage!

**TobiaZ** · 22.09.2005, 19:45

Das Problem ist dabei: es geht nicht anderst!

Das ist Quatsch!!!

Ich hätte auch gleich im Kopf der Index.php abfragen können aber nicht jeder Link beinhaltet Angebots-ID sondern nur ein paar!
Also muss ich die Überprüfung in ein 'Sub-Bereich' verschieben! Da ist aber bereits etliches Ausgegeben worden wie z.B. das ganze Gerüst und kann daher header nicht mehr nutzen!

Dazu hatte ich dir bereits etwas geschrieben. Bitte ignorier nicht die Hälfte der Hilfe!

Aber META-Umleitung mit 0 Sekunden verzögerung ist ja auch schon gut, aber nur wenn man das nicht Umgehen könnte.....und das ist eigentlich meine Kernfrage!

Du hast die antwort doch schon gegeben. ALLES was KLIENTSEITIG abläuft kann man umgehen! Egal, ob man den refresh im browser ausschalten kann oder nicht!

Im Zweifelsfall (falls du auf ne saubere Lösung verzichten willst), kannst du immernoch erst dein Grundgerüst ausgeben und dann einfach im subbereich prüfen und ggf. nen die(
hör auf zu manupulieren!) absetzen.

Aber denk einfach mal logisch über deinen programmablauf nach!

**Master0Blicker** · 22.09.2005, 20:00

@TobiaZ

Mit der gepufferten Ausgabe habe ich da meine Zweifel und somit werde ich nun im Kopt der Index.php eben noch ein Bereich einbauen der bei bestimmten Links eben nachprüft ob diese valide sind (sprich ob Angebots-ID der angemeldetetn User-ID entspricht........) und dann im Fall der Fälle ein Header senden......

**TobiaZ** · 22.09.2005, 20:02

Nachteil: Du brauchst eine zusätzliche Query, die du bei strukturierter Programmierung nicht gebraucht hättest.

**Master0Blicker** · 22.09.2005, 22:01

Wie meinst du das ?
Ich brauche das zusätliche Query doch sowieso.......

oder ??

**TobiaZ** · 23.09.2005, 21:27

wenn du sie brauchen würdest, würde ich sicher nicht sagen, dass du sie nicht brauchst.

**Master0Blicker** · 23.09.2005, 22:05

Nur wie meinst du das ?
Hätte ich das so machen sollen das in einem Query alle Werte die benötigt werden ausgelesen werden und dann nacheinander alles abgearbeitet werden in einer. Also in einer Struktur ?

**TobiaZ** · 23.09.2005, 22:14

will dir ja nicht alles verraten, schließlich bist du der programmierer.

aber z.B. lösche ich nur, wenn ich löschen darf. und dass kann ich wunderbar in der query abchecken.

Sicherheitsfrage bzgl. Parameterübergabe per Link