Variable an andere Seite übergeben (nicht mit $_GET)

snuu hat gesagt.:
Seine Anforderung war, dass die Nutzer über seine Seite kommen müssen, um den Eintrag vorzunehmen. und das wird durch die Session-Variante abgedeckt. Es war nie von einem Spamschutz die Rede.
Zum Vergrößern anklicken....
Nein, dass stimmt nicht. Es ist ohne weiteres Möglich, ein Script zu machen, dass Daten in das Gästebuch einträgt. Und dieses Script könnte die Daten von jedem beliebigen Formular aus empfangen.
 
Wie kommt das "böse" Script an die Transaktions-ID, die in der Session des Nutzers abgelegt wird, ohne zuvor die Formularseite des Gästebuches aufzurufen, wo die Transaktions-ID erst für den Nutzer generiert wird?

Ich stimme dir zu, wenn du sagst, dass das Gästebuch dennoch zugespammt werden kann. Doch dazu muss trotzdem die zufällig generierte Transaktions-ID aus dem Eingabeformular ausgelesen werden. Ausserdem muss die Session-ID übermittelt werden, da ja in der Session die Transaktions-ID zum Vergleich steht. Zu beachten ist, dass durch entsprechende Einstellungen die Session-ID nur in Cookies abgelegt werden könnte. Dann müsste das Script direkt mit Sockets arbeiten, um die Cookie-Header auslesen zu können.
So unerheblich schätze ich den Aufwand nicht ein.

Aber in jedem Fall müsste ein Schritt des "bösen" Scriptes über die Formularseite gehen.
 
stonk hat gesagt.:
Ich habe da ein kleines Prolbem.. ich möchte bei meinem Gästebuch überprüfen, ob der absender auch wircklich über meine Seite kommt und nicht extern auf mein submit script schickt... so im sinne einer checksumme....
dafür möchte ich eine variable aus meiner ersten Seite an die zweite übergeben... $_GET kann ich nicht gebrauchen, da sonst der user diese einsehen kann...
Zum Vergrößern anklicken....

Schlagt mich, aber wäre das ganze nicht mit einer Abfrage der $_SERVER['HTTP_REFERER']-Adresse einfacher? Wäre sicher eine einfachere Möglichkeit, zu überprüfen, von wo der User kommt.


Der Doc!
 
Dann würde es ausreichen, einen Request mit modifiziertem Header an das Script zum Eintragen zu schicken, um von einer fremden Seite Eintragungen vorzunehmen.
 
Wenn die Variable von außen nicht manipuliert werden könnte, dann schon. Doch es ist aus Datenschutzgründen möglich, das Versenden des Referer-Headers zu deaktivieren bzw. zu manipulieren.


Ich würde auf die Variante mit der Sitzungsvariable zurückgreifen.
 
snuu hat gesagt.:
Wie kommt das "böse" Script an die Transaktions-ID, die in der Session des Nutzers abgelegt wird, ohne zuvor die Formularseite des Gästebuches aufzurufen, wo die Transaktions-ID erst für den Nutzer generiert wird?

Ich stimme dir zu, wenn du sagst, dass das Gästebuch dennoch zugespammt werden kann. Doch dazu muss trotzdem die zufällig generierte Transaktions-ID aus dem Eingabeformular ausgelesen werden. Ausserdem muss die Session-ID übermittelt werden, da ja in der Session die Transaktions-ID zum Vergleich steht. Zu beachten ist, dass durch entsprechende Einstellungen die Session-ID nur in Cookies abgelegt werden könnte. Dann müsste das Script direkt mit Sockets arbeiten, um die Cookie-Header auslesen zu können.
So unerheblich schätze ich den Aufwand nicht ein.

Aber in jedem Fall müsste ein Schritt des "bösen" Scriptes über die Formularseite gehen.
Zum Vergrößern anklicken....

Ich hab ja niemals behauptet, dass das Formular nicht aufgerufen würde.
Und zum Arbeitsaufwand, solch ein Script zu schreiben:
Socket-Verbindung auf Port 80 herstellen, GET Anweisung für das Formular abschicken, aus der Antwort die Session-ID auslesen, POST Anweisung mit den Daten und der Session abschicken, fertig. Das ist in 10 Minuten programmiert.

Ich wollte nur darauf hinweisen, dass man sich nicht davor schützen kann, dass die Daten maschinell in das Gästebuch eingetragen werden. Du kannst nur den Leuten, die vorhaben, soetwas zu machen, das Leben erschweren. Wie sehr du ihnen das Leben erschweren willst/solltest, hängt ganz davon ab, wieviele Leute auf die Idee kommen könnten, das Gästebuch auf diese Art und Weise zu manipulieren. Wenn es sich nur um ein normales Gästebuch einer privaten Seite handelt, ist die Variante mit der Session sicherlich ausreichend, da höchstwahrscheinlich niemals jemand versuchen wird, irgendwelche Energie daran zu verschwenden, dieses Gästebuch zu manipulieren.

Falls es aber wirklich jemand "auf dich abgesehen hat", dann hilft dir das alles nichts.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück