register_globals: gut und recht - doch nutzen?

[Sputnik]

Es ist ja gut und Recht, dass die register_globals auf "off" geschaltet wurden. Es ist auch schön, dass die Variablen mit "$_GET", "$_POST" und "$_REQUEST" geholt werden können.

Nur wenn ich die Variablen in einem Link übergebe, kann trotzdem jeder meine Variablen lesen. Und da ich in meinen Scripts ja die Variablen wieder hole, kann immernoch alles kaputt gemacht werden (im schlimmsten Fall).

Sinnvoll ist es doch erst wenn die Variablen im Link nicht sichtbar sind. Doch wie erledige ich das. Auf dieses Problem wurde leider nicht eingegangen...

 

[Valentin-]

tja man übergibt halt nur unwichtig Daten der URI..
Anders geht es einfach nicht.

 

[melmager]

get = du siehst die var in der zeile
post = du siehst die var nicht ...

 

[fungo]

also wenn die globals on sind hast du immer ein
kleines Sicherheitsrisiko

 

[dave_]

du könntest entweder nur mit hidden fields arbeiten, und dann halt mit post, so könnte man die vars nicht mehr ändenr.

oder aber du überprüfst von welcher url das script aufgerufen wird.