Sicherheit Problem

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
  • #16
    Und was hindert dich daran z.B. dies
    PHP-Code:
    echo '<A HREF="' $PHP_SELF '?aktion=land_besuchen&land=' $row['land'] . '">';
    $_SESSION['land'] = $row['land'];
    //Prüfung
    if(isset($_GET['land']) && $_GET['land'] == $_SESSION['land']){
          //Parameter okay
    }else{
          //Da will einer schummeln

    zu machen ?

    Gruss

    tobi
    Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

    [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
    Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

    Kommentar

    • #17
      hehe, was für ein Unfug. Wenn ich den Wert sowieso in der Session stehen habe, warum sollte ich ihn dann noch als Wert übergeben?

      Kommentar

      • #18
        hehe, was für ein Unfug.
        Der Code war nur als Bsp zur Validierung von $_GET/$_POST Vars gedacht. Habe nicht behauptet, dass dieser das Gelbe von Ei sei

        Gruss

        tobi
        Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

        [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
        Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

        Kommentar

        • #19
          Wenn in der Session wenigstens ein Array mit Orten gespeichert wäre, würde ich es ja noch durchgehen lassen.

          Kommentar

          • #20
            Wenn in der Session wenigstens ein Array mit Orten gespeichert wäre, würde ich es ja noch durchgehen lassen.
            Wieso ein Array? Gemäss topicstarter darf er nur in ein Land und nicht in mehrere...

            Gruss

            tobi
            Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

            [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
            Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

            Kommentar

            • #21
              Wieso sollte man es dann überhaupt übergeben?
              ich glaube

              Kommentar

              • #22
                Genau.

                Kommentar

                • #23
                  Ich bin mir sicher, Validierung ist hier gar nicht das Thema. Vielmehr fehlen die Sicherheitsgrundlagen, und das kann dem Threadstarter keiner abnehmen, die Gedanken muß er sich selbst machen

                  Kommentar

                  • #24
                    Original geschrieben von TobiaZ
                    Und wo steht definiert, in welche Länder der Jenige darf oder in welche er nicht darf?
                    Es ist nicht bestimmt was der Spieler darf oder nicht.

                    Ein Spieler soll bei einer Landkarte nur dahin kommen was er angeklickt hat.
                    Er soll also keine Möglichkeit haben durch hilfe von Manipulation der Url.
                    In ein anderes Land zu kommen.

                    Ich habe nämlich bei mir im Programm 2 Karten. (1 wird immer nur angezeigt)

                    Beispiel: Ein Spieler ist jetzt auf der Europa karte. Er klickt England an, (eine andere) Funktion startet mit (Get) ...&land=England wird mit gegeben.

                    Jetzt ändert er die Url &land=Brasilien und gelangt ohne Erlaubnis dort hin.

                    Das möchte ich verhindern.
                    Ich Hoffe das ihr jetzt versteht was ich genau möchte.

                    MFG Linux5
                    Zuletzt geändert von Linux5; 31.07.2007, 15:41.

                    Kommentar

                    • #25
                      Dann musst du bevor du seinen Standort änderst abfragen, ob das Land, in das er will, ein Nachbarland von dem ist, wo er sich befindet.

                      Alle anderen Wege werden ausnutzbar sein.
                      ich glaube

                      Kommentar

                      Vorherige 1 2 template Weiter
                      Lädt...
                      X