Unerlaubte eingaben in der URL verhindern?

D

Dimi Unruh

Grünschnabel
Hallo Leute,

ich sitze hier gerade vor meinem Projekt und habe ein kleines Problem.

alle Aktionen im Skript werden von einem EventManager über die URL-Parameter abgearbeitet, also zum Beispiel:
Code: 
http://domain/index.php?seite=2&do=delete&id=2

Das funktioniert auch soweit ganz gut, dass heißt, das vor dem ausführen sichergestellt wird, dass die Parameter richtig sind und dem ganzen Zeug...

Mein Problem ist nun: wenn man diese parameter an an einer anderen Stelle in die url eingibt, dann wird die entsprechende Funktion auch ausgeführt - was sicherlich nicht so schön ist.

Mir fällt aber nichts ein wie ich das evtl. abfangen kann.
Hat vielleicht jemand einen Vorschlag?

Gruß Dimi
 
Falls du sicherheitsrelevante Aktionen unterbinden möchtest, solltest du prüfen, ob der Benutzer zu der Aktion überhaupt authorisiert ist.

Das Löschen von Datensätzen solltest du beispielsweise nur nach der Authentifizierung und Authorisierung erlauben. Auch solltest du Abfragen zur Löschung per HTTP-POST-Methode senden und nicht per HTTP-GET-Methode, wie es bei der Übermittlung von Parametern der Fall ist.
 
Aha... machnmal bin ich so etwas von langsam :-)

Danke für den Hinweis und dabei fällt mir ein, dass ich diese Sicherheitabfragen ja bereits alle eingebaut habe....

Dennoch danke

Gruß Dimi
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück