Variablenuebergabe ohne Formular

exitboy

exitboy

Erfahrenes Mitglied
Hallo,

meine Fragen beziehen sich hauptsaechlich auf sicherheitsrelevante Themen zur Variablenuebergabe.

Wenn ich eine URL mit Variablen wie folgt habe:
http://www.tutorials.de/forum/newthread.php?do=newthread&f=8&

  • 1. Wie stelle ich eine sollche in einer Email am sichersten dar, dass diese nicht manipluliert wird (Bspw. fuer eine Newsletterversand Anmeldung). Reicht da ein String der hier wie "$s" ausschaut der dann regexpr. Filterungen durchlaeuft und letztendlich per SQL Statement einer UserID zugeordnet wird?
  • 2. Wenn die URL aufgerufen wird wie nehme ich diese Variablen am besten entgegen? Aktuell funkzt es mit $s z.B. Ein POST/GET Vorgang existiert nicht, sodass auch per $_ nichts entgegen genommen werden kann.
  • 3. Wenn ich jetzt aus einem Formular nur per Link, ohne Formular eine Variable uebergeben will (z.B. um zu erkennen, dass der Benutzer X schon auf Seite 1 war), wie realisiere ich dies am manipulier unanfaelligsten? Session waere meine Idee gewesen, nur wuerde ich gerne ohne arbeiten.
    Wuerde dann eine reine Variablenuebergabe wie
    http://www.tutorials.de/index.php?id=32849sauih2343sus&token=page01 ... vorschlagen. Was haltet Ihr davon?
  • 4. Gibt es ein Mozilla FF AddOn, dass Variablen oder Teile der URL farbig kenntlich macht?


Gruss und Danke fuer Eure Hilfe.
 
Hi,

Prinzipiell findest Du die Variablen die ueber die URL mitgegeben werden im Array $_GET .

1. Verstehe zwar nicht ganz was Du mit manipulieren meinst, aber einfach aus Prinzip darfst Du nichts trauen was der User Dir schickt. Das ist allerdings bei Forumlaren genauso! Also willst Du zb eine User-ID uebermitteln musst Du diese auf jeden Fall serverseitig pruefen und bloss nicht ungefragt in ein SQL-statement uebergeben. Siehe:
http://de2.php.net/manual/en/security.database.sql-injection.php
Ansonsten ist da fast alles analog zu Daten die per Formular kommen.

2. Wie gesagt, $_GET

3. Wuerde ich eher Sessions nehmen, sonst vermurkst Du Dir alle URLs und der User bekommt komische Bookmarks.

4. Kenne keins, sollte aber einfach selbst zu schreiben sein (simples Javascript/CSS).
 
  • zu 1-3: Vielen Dank, mein Verdacht hat sich bestaetigt
  • zu 4: Brauche ich zum addon erstellen zwingend vc++ 2008? hab hier nen NT2000 und Debian. Hab das noch nie ohne versucht.
 
Hat nichts mit VB zu tun. FF extensions sind im Kern extrem simple: Reines Javascript, CSS und eine Prise XML. Alles was Du brauchst ist Notepad und Winzip (oder aequivalentes unter Linux).

developer.mozilla.org hilft dir weiter.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück