Perso Check Script erweitern?

[Shorty1968]

Hallo,
ich möchte in meinem Shop für einen Ab 18 Jahren bereich,ein Script einstezen welches ich über Google gefunden habe Personalausweis überprüfen – PHP lernen , ich möchte das man bei einem Erfolgreicher Überprüfung in eine andere Gruppe verschoben wird und der Admin des Shops eine Mail bekommt das sich ein Kunde erfolgreich Freigeschaltet hat mit angaben sprich Name des kunden.

Aber das übersteigt völlig meine Fähigkeiten und ich hoffe das wir da zusammen etwas machen können?

 

[ComFreek]

du beim Klick auf persp Checken die aktuelle url mit an der url hängst und somit später wieder aufrufbar ist.

Da musst du aber unbedingt die URL vor der Weiterleitung überprüfen. Ansonsten könnten Angreifer eine URL wie

https://shop-von-shorty.example.com/persoSkript.php?weiterleitenZu=https://url-von-angreifer

Nutzern via Social Engineering unterschieben. Nutzer denken, dass das eine harmlose URL sei!

 

[basti1012]

Da musst du aber unbedingt die URL vor der Weiterleitung überprüfen.

Ok das ist schon wieder ein Hintertürchen das ich so noch nicht kannte. Beim überprüfen müßte es doch dann reichen, das man nee Abfrage macht, ob man noch auf den gleichen Host ist , oder reicht das nicht?

 

[ComFreek]

Beim überprüfen müßte es doch dann reichen, das man nee Abfrage macht, ob man noch auf den gleichen Host ist , oder reicht das nicht?

Theoretisch ja. Aber ich würde, um sicher zu gehen, nach einer Onlinereferenz suchen, vielleicht hat OWASP etwas dazu. Das klingt für mich gerade nach "theoretisch müsste Escapen von Single Quotes reichen", praktisch aber nicht