Get Parameter überprüfen

**onemorenerd** · 04.12.2008, 12:41

Nein.

**Kropff** · 04.12.2008, 12:46

wir arbeiten mit sessions

peter

**phpMorpheus2** · 04.12.2008, 12:48

Original geschrieben von Kropff
wir arbeiten mit sessions

peter

d.h. explizit?
Hier im Forum z.B. sind auch GET Variablen angegeben und wenn jemand fremdes diese ändert, gibt es Fehlermeldungen (eigene)
Stichwort, Session ?
Versteh ich nicht

**Kropff** · 04.12.2008, 13:02

Original geschrieben von phpMorpheus2
Hier im Forum z.B. sind auch GET Variablen angegeben und wenn jemand fremdes diese ändert, gibt es Fehlermeldungen

ich habe nicht behauptet, dass das so toll mit den GET-Parametern ist.

Original geschrieben von phpMorpheus2
Stichwort, Session ?

session

peter

**phpMorpheus2** · 04.12.2008, 13:04

Original geschrieben von Kropff
ich habe nicht behauptet, dass das so toll mit den GET-Parametern ist.

session

peter

Was eine Session ist, ist mir bewusst.
Jedoch frage ich mich, was die session mit der Validierung zutun hat?
Oder lehnst du dich an eine session an, welche die get Parameter enthält und somit kein Risiko entsteht, alles sauber und unveränderbar bleibt?

Das ist jedoch ein Problem finde ich, denn so kann man nicht verlinken!

**PHP-Desaster** · 04.12.2008, 13:12

Ich verstehe die Frage ehrlich gesagt nicht richtig. In den Funktionen solltest du gar nicht mit den Superglobals arbeiten, sondern die nötigen Werte vorher validieren und dann an die Funktionen übergeben.

**combie** · 04.12.2008, 13:36

Macht Ihr Profis das auch so?

Ob ich ein Profi bin, möchte ich erstmal heftig bezweifeln.

Wieso $_GET?
Das Problem betrifft durchaus auch $_POST $_COOKIE $_SERVER $_REQUEST und was weiß ich noch was...

Erster Test: PHP_SELF auf XSS prüfen

Desweitern ist ein universeller Test schwierig, weil jeder Controller andere Parameter erwartet. Also muß der Controller/Dispatcher testen ob IHM die Parameter in den Kram passen.
Bei schlechten/bösen Parametern auf einen ErrorControler umlenken, das Problem loggen oder per Mail zum Admin senden, damit er es klingeln hört.

**phpMorpheus2** · 04.12.2008, 14:17

Wenn man z.B. einen Thread besucht oder ein Profil oder sonstiges werden die Daten in der URL angezeigt da sie per GET übergeben werden um eine verlinkung zu sichern.

Meine Frage war darauf bezogen, wie Ihr die GET Variablen validiert.
ICH würde bei jeder Funktion die mit GET Variablen arbeitet eine If abfrage machen.
Und von euch Profis wollte ich wissen, ob es so ok ist oder es eine super Funktion dafür gibt.

**combie** · 04.12.2008, 14:26

Nur die konkrete Funktion/Methode/Klasse kann wissen, ob in dem Parameter ein x vorkommen darf oder ob er numerisch ist. Oder nur in Verbindung mir einem anderen Parameter zu Wirkung kommen darf.

Ausserdem muß es ja gar nicht ein Angriff sein. Ein falsch abgeschriebener oder veralterter Link verursacht die selben Sorgen.

evtl suchst du: http://de.php.net/manual/de/book.filter.php

**phpMorpheus2** · 04.12.2008, 14:36

"suchen" tu ich ansich nichts.
Es war nur eine Frage :-)
Aber trotzdem danke für den Link

Get Parameter überprüfen