Navigation mit Pseudodateien, Sicherheit, Formulare u.a.

2Pac

Erfahrenes Mitglied
Navigation, Sicherheit, Formulare u.a. [Suche Lösung]

Hallo,

ich möchte euch um euren Rat bezüglich der Verbesserung meiner Seite befragen, insbesondere zum Thema Sicherheit.

Im Moment sieht es eigentlich so aus, dass ich meine Seite mit PHP / MySQL nutze. Die Links übergebe ich via

PHP:
<a href='index.php?section=Thema'>Linkname</a>

Auf jeder Seite überprüfe ich dann die Variable Section, indem ich prüfe ob Sie gesetzt ist und include dann mit einem switch -> case. Somit unterbinde ich auch das includen von Dateien die unerwünscht oder außerhalb meines Servers liegen. Weiterhin checke ich ob die Datei direkt aufgerufen wird oder nicht und unterbinde einen Direktaufruf. Die Dateien liegen innerhalb eines geschützten htaccess Ordners inklusiver der Configdatei.

Ist alles soweit so gut. Nur ich würde gerne die Übergabe von Variablen per URL unterbinden. Wie kann ich das am besten anstellen? In Formularen sicher mit hidden inputfeldern. Aber was mache ich bei normalen Links? Sprich zum Beispiel in einem Forum. Ich brauche die ID des Beitrages und die Page z. B. wenn es über 100 Beiträge gibt. Ich kontrolliere solche Variablen derzeit mit

PHP:
intval($id) > 0

Aber das ist sicher keine tolle Lösung auf Dauer. Zumal Links wie

PHP:
index.php?section=Thema&id=1&page=59&variablewasweißich=2373

total e aussehen. Das Überprüfen ist nicht weiter schlimm. Kann ja künftig im Script bestehen bleiben. Aber ich denke ohne die Aussage der Variablen, reduziert sich auch gleichzeitig die Angriffsbreite auf die Seite.

Wie kann ich das ganze am besten umgehen? Sessions? Wenn ja wie sähe das Scripttechnisch aus? Oder vielleicht gibt es auch eine andere Variante? Ich selbst dachte es wäre vielleicht sinnvoll die Navigation über Pseudodateien zu lösen. Sprich ich verlinke auf eine Seite sagen wir Thema.html. Das System soll diese Datei aber in der index.php ausführen und dem User vorspielen er nutzt gerade die Thema.html Datei.

Ist sowas möglich? Wenn ja wie? Ist es sicherer?

Dann würde ich gerne noch wissen, was genau der Unterschied zwischen $POST und $GET ist und welche Variante für Formularauswertungen besser geeignet ist?

Zu guter Letzt würde mich noch interessieren, ob es möglich ist, Dateien aus dem Upload eines Benutzers auf Viren zu überprüfen?

Ich hoffe ich habe mich bei meinen Fragestellungen klar und deutlich ausgedrückt.

Ich danke euch für die Mühe und Zeit im Voraus.
Gruß Ronny
 
Zuletzt bearbeitet:
Moin,


ich steh drauf :p :-)

Wenn du gezwungen bist, diese Variablen über einen Link zu transportieren, dann wirst du nicht umhinkommen, sie in der URL unterzubringen.

Etwas "schöner" (liegt wohl im Auge des Betrachters), wäre der Einstz von mod_rewrite .
Dies Thema hier z.B. ...
http://www.tutorials.de/forum/php/351520-navigation-mit-pseudodateien-sicherheit-formulare-u.html

Du findest die URL wahrscheinlich schöner, aber das einzig wichtige für die Forensoftware ist daran die 351520

Unterschiede zwischen POST und GET(mal von dem offensichtlichen abgesehen)

GET ist schneller, weil dort die Variablen dem Server aufgetischt werden, bei POST muss er sie erst aus dem Kühlschrank holen :suspekt:

GET besitzt ein Limit an maximal übergebbarer Datenmenge
 

Neue Beiträge

Zurück