Manipulation von GET_Variablen

[sipoh]

Hallo,

ich übergebe eine user id, um bspw. dessen GB-Einträge anzeigen zu lassen. Wenn man jetzt die id verändert, kriegt man das GB vom User mit dieser ID. Kann man das irgendwie verhindern?

Beispiel Link richtig:

<a href="gb.php?id=<? echo $_GET['id'] ?>">Gästebuch</a>

ergibt: gb.php?id=2

Die 2 ist also veränderbar durch jede andere Zahl.

 

[Gumbo]

Indem du prüfst, ob der angegebene Wert erlaubt ist. Wovon ist denn die Gültigkeit dieser Eingabe abhängig?

 

[Dörti.Hermi]

Also wenn ich das richtig verstanden habe, dann hast du nur ein Gästebuch (ich nehme an ein Gratis-Gästebuch?), das wird mit einer ID dir zugewiesen. Und wenn du die ID änderst, dann kommt ein GB eines ganz anderen Users, dass überhaupt nicht zu dir gehört oder?

Wenn das der Fall ist, kennst du ja deine ID, also kannst du das einfach mit If überprüfen:

$id = intval($_GET['id']);
if($id == [DeineID])
{
   //ok
} else {
   //nicht ok
}

lg

 

[sipoh]

Nein, es gibt mehrere Benutzer.
if($id == [DeineID] -> Geht also nicht.

Die ID ist abhängig von der Seite des jew. Benutzers, den man erreicht, indem man ihn sucht. Auf dessen Seite gibts nen Link zum z. B. GB. Um die eindeutige Identifizierung beizubehalten, wählte ich die Lösung mit der der URL angehängten ID, die aber eben manipulierbar ist.

Das Gästebuch ist kein Gratis-Ding von irgendwo. Selber machen.

 

[Gumbo]

Meinst du etwa, jeder Benutzer darf nur sein eigenes Gästebuch betrachten?

 

[sipoh]

Wahrscheinlich gehts auch nicht.

Der Betrachter sollte eben nicht über das Verändern der ID zu anderen GBs kommen.