Hilfe mit Checkbox - Seite 2

StefanRHRO · 11.01.2012, 14:04

@tr0y

Die Sinnlosigkeit, sehe ich aber immer noch nicht, du hast mir jetzt nur gezeigt, dass du auf das gleiche Ergebnis, wie ich kommen würde, aber nicht, warum jetzt meine Vorgehensweise, keinen Sinn ergibt...

Und @nikosch, warum sollte ich jetzt nicht:

PHP-Code:

   
//form

$a = array (1,2);

foreach($a as $id) {

  checkbox_and_hidden ('foo[' . $id . ']');

} 

 
//action

foreach($a as $id) {

  $value = (bool) $_POST['foo'][$id]; //bei aktivierung true, sonst false

  action ($id , $value); 

}

nutzen können? Versteh ich nicht, kommen doch auf das gleiche Ergebnis, ohne große Umwege. Im obigen Fall, könnte der "Angreifer" 20 weitere Boxen hinzufügen und nüscht würde passieren... Versteht mich hier nicht falsch, ich würde mich ja gerne von der Sinnlosigkeit, meines Vorgehens überzeugen lassen, aber irgendwie verstehe ich nicht, warum mein Vorgehen jetzt soo unnütz sein sollte

nikosch · 11.01.2012, 14:08

Zitat:

Und @nikosch, warum sollte ich jetzt nicht:

Weil "der Angreifer" hier z.B. Checkboxes weglassen könnte. isset() brauchst DU auf jeden Fall als Prüfung und dann wird das hidden-Field obsolet.

StefanRHRO · 11.01.2012, 14:12

Zitat:

Zitat von nikosch

Weil "der Angreifer" hier z.B. Checkboxes weglassen könnte. isset() brauchst DU auf jeden Fall als Prüfung und dann wird das hidden-Field obsolet.

Okay, das ist nen Argument!!

Von der Seite hab ich das noch nie gesehen, aber man lernt ja nicht aus!!

11.01.2012, 14:51

Prüfe importierte Parameter. Traue niemandem
http://www.php-faq.de/q-sicherheit-parameter.html

Zitat:

Jede Form von Ping-Pong, also Wert-Weitergabe durch GET-Parameter, HIDDEN-Variablen und dergleichen ist zu vermeiden. Auch durch Codierung der Werte ist hier nichts zu erreichen.

Stattdessen sind Sessionvariablen zu verwenden. Nur die Session-ID wird von einer Seite an eine andere Seite weitergereicht.

Keinesfalls darf ein Programm Werte aus einer GET, POST oder COOKIE-Quelle direkt verwenden. Jeder externe Wert ist einer Plausibilitätsprüfung zu unterziehen, bevor er verwendet wird (Genau das wird in "Wie unterscheide ich böse Variablen von guten?" näher beschrieben).

Validierung von Eingabewerten muss serverseitig durch PHP geschehen. JavaScript-Validatoren sind nicht vertrauenswürdig: Der Browser des Anwenders führt diese Validatoren möglicherweise nicht aus, auch dann, wenn er sich durch die User-Agent-Zeile als JavaScript-fähiger Browser identifiziert. Ebenso muss angenommen werden, dass die Referer-Header des Browsers möglicherweise gefälscht sind. Man kann nicht annehmen, dass ein Zugriff tatsächlich von einer bestimmten vorhergehenden Seite hierher vermittelt wurde.

Zusammenfassend: Traue niemandem. Validiere allen Input oder stirb.

Und:
Wie unterscheide ich böse Variablen von guten?
http://www.php-faq.de/q-security-variablen.html

sowie:
PHP_SELF ist böse! Potentielles Cross Site Scripting (XSS)!
http://blog.oncode.info/2008/05/07/p...scripting-xss/

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Problem mit der Ausrichtung von Checkbox und text	NTM	HTML, Usability und Barrierefreiheit	9	13.11.2011 23:10
[Erledigt] Brauche Hilfe bei Array mit Checkbox	NTM	PHP Einsteiger	3	09.11.2011 11:55
funktionsparameter aus Checkbox und Radio	Wolf-Tilmann	JavaScript, Ajax und mehr	5	31.07.2011 21:57
{HILFE} checkbox in schleife	bajo	PHP Einsteiger	8	04.07.2011 23:00
[Erledigt] Checkbox Formular anwort.php hilfe	schmitti	Sonstige	0	10.03.2011 14:10
Brauche Hilfe bei PHP / Onlineshop	dennis2k	Gewerblich	0	31.01.2011 19:08
Hilfe für Checkbox - Einbau	Brodit24	PHP Tipps 2010	3	10.08.2010 02:39
mit "checked" checkbox Inhalte direkt einblenden	mod77	JavaScript, Ajax und mehr	4	10.01.2010 17:23
[Erledigt] onclick problem bei checkbox	familyman	JavaScript, Ajax und mehr	5	31.01.2009 19:39
SQL Multiple Rows Einträge von checkbox values	Rilana	PHP Tipps 2009	20	29.01.2009 18:57
[Erledigt] Hilfe Beim Formular		PHP Tipps 2005	1	06.02.2005 16:43
[Erledigt] HILFE		PHP Tipps 2004-2	1	16.12.2004 20:49
[Erledigt] Checkbox Wert übergeben		Datenbanken	4	12.08.2004 11:02
[Erledigt] Formularelement Checkbox in Interaktion mit MYSQL		Datenbanken	4	13.07.2004 12:14

11.01.2012, 14:04
StefanRHRO Benutzer Registriert seit: 15.05.2009 Beiträge: 64	@tr0y Die Sinnlosigkeit, sehe ich aber immer noch nicht, du hast mir jetzt nur gezeigt, dass du auf das gleiche Ergebnis, wie ich kommen würde, aber nicht, warum jetzt meine Vorgehensweise, keinen Sinn ergibt... Und @nikosch, warum sollte ich jetzt nicht: PHP-Code: `//form $a = array (1,2); foreach($a as $id) { checkbox_and_hidden ('foo[' . $id . ']'); } //action foreach($a as $id) { $value = (bool) $_POST['foo'][$id]; //bei aktivierung true, sonst false action ($id , $value); }` nutzen können? Versteh ich nicht, kommen doch auf das gleiche Ergebnis, ohne große Umwege. Im obigen Fall, könnte der "Angreifer" 20 weitere Boxen hinzufügen und nüscht würde passieren... Versteht mich hier nicht falsch, ich würde mich ja gerne von der Sinnlosigkeit, meines Vorgehens überzeugen lassen, aber irgendwie verstehe ich nicht, warum mein Vorgehen jetzt soo unnütz sein sollte


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten