GET Übergabe durch vorherigen md5 hash checken

27.10.2005, 12:52

Hallo!
Ich hatte hier kurz was gelesen war jemand nebenbei mal erwähnt hatte.
Man will seine GET Datenüberprüfen. Beispielsweise mit ner ID für einen bestimmten Datensatz.

Ich würde das irgendwie so machen (gesetz den Fall das mit dem md5 check ist ne gute sache):

Aus jedem Titel und jeder ID einen md5 hash machen und in ein Array mit lauter Hashs packen
Übergabe des Hash Arrays an Folgeseite vielleicht mit Session
Bei Aufruf der Seite wird der gewünschte Datensatz selektiert und ein md5 hash gemacht.
Danach einen Check im Hash Array und wenn es eine Übereinstimmung gibt handelt es sich um einen gültigen Text ansonsten header und exit.

Taugt das was? Meines Erachtens ist das recht gut schließlich wird nicht nur geprüft ob es eine gültige Zahl ist sondern ob es sich um einen gültigen Datensatz handelt.

Buhmann · 27.10.2005, 14:23

Ich verstehe nicht genau, was du überhaupt erreichen willst, habe aber auch keine unbedingte unstimmigkeit in deinem vorschlag gefunden. Erklär trotzdem mal genauer, was du überhaupt vorhast...

Zergling-new · 27.10.2005, 14:29

Irgendwie widerstrebt mir dein Vorschlag. Aber "Unstimmigkeiten" habe ich wie Buhmann gesagt hat, trotzdem auch nicht gefunden.

Hmm...

Schreib dir aber ne Klasse oder Funktion, die die Übergabe prüft. Innerhalb dieser Funktion kannst du ja dann eben entweder auf die MD5-Checksummen-Liste zurückgreifen, oder wenn dir später was besseres einfällt, die Überprüfung einfach ändern. Für die Anwendung selbst ändert sich dann nichts, da die Validierung ja "geheim" innerhalb der Funktion stattfindet.

27.10.2005, 15:51

Beispielsweise News. Aufruf eines Newsthemas durch eine ID.
Normalerweise muss man diese übergebene ID testen, obs ein INT ist falls ja ein gültige BeitragsID usw. Wöhlmöglich werden davor Funktion wie trim, strip_tags, add_slashes, etc. ausgeführt.

Ruft ein User die Newsübersicht auf wird ein Array angelegt. Jedes Element besteht aus einem md5 Hash des z.b. Newstitels + ID. Dieses Array wird wahrscheinlich als Sessionvar gespeichert.

Klickt ein User auf ein Thema wird die übergebene Hash gecheckt.
Ist der übergebene Hashcode ein Element aus dem News Hash array?
Wenn ja sofortiges einsetzen in den SQL String und anzeige der News. Das dürfte sicher sein da Fremdcode sofort einen anderen hash erzeugen würde (ungültiger Newsbeitrag)

Eine Überprüfung durch diverse Funktionen fällt dadurch weg.

Zergling-new · 27.10.2005, 15:55

Und was wenn jemand auf eine spezielle News direkt verlinkt? Dann gibts keine Hashtable weil er die Übersichtsseite, wo diese erzeugt wird, noch nicht besucht hat ^^

Das ist Quatsch finde ich, mach ein intval($_GET['id']) und such das dann in der Datenbank, wenns nicht gefunden wird kommt ne Fehlerseite oder die Übersichtsseite. Deinen Vorschlag finde ich unsinnig & kompliziert.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
aus SELECT Abfragen Hash bauen	Reen_Sc	Datenbanken	9	27.06.2008 18:48
Sicherer Passwort Hash	tomtaz	PHP-Fortgeschrittene	14	17.03.2008 18:13
Name von Hash Feld auslesen	Igäl	PHP Tipps 2007	9	15.08.2007 15:06
[Geklärt] MD5 Hash nochmals MD5 hash´n?		PHP Tipps 2005-2	44	29.10.2005 14:46
Checkboxen mit einer Checkbox checken :)	Igäl	HTML, Usability und Barrierefreiheit	3	14.07.2005 14:19
perl hash aus mysql blob mit php lesen		PHP-Fortgeschrittene	6	07.07.2005 17:36
2 Werte mit gleichem MD5 Hash	webbi	PHP Tipps 2005	4	09.03.2005 12:46
Doppelte Werte im Array löschen mittels hash		PHP Tipps 2004-2	1	09.12.2004 11:43

27.10.2005, 12:52
Gast Beiträge: n/a	GET Übergabe durch vorherigen md5 hash checken Hallo! Ich hatte hier kurz was gelesen war jemand nebenbei mal erwähnt hatte. Man will seine GET Datenüberprüfen. Beispielsweise mit ner ID für einen bestimmten Datensatz. Ich würde das irgendwie so machen (gesetz den Fall das mit dem md5 check ist ne gute sache): Aus jedem Titel und jeder ID einen md5 hash machen und in ein Array mit lauter Hashs packen Übergabe des Hash Arrays an Folgeseite vielleicht mit Session Bei Aufruf der Seite wird der gewünschte Datensatz selektiert und ein md5 hash gemacht. Danach einen Check im Hash Array und wenn es eine Übereinstimmung gibt handelt es sich um einen gültigen Text ansonsten header und exit. Taugt das was? Meines Erachtens ist das recht gut schließlich wird nicht nur geprüft ob es eine gültige Zahl ist sondern ob es sich um einen gültigen Datensatz handelt.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

27.10.2005, 14:23
Buhmann Erfahrener Benutzer Registriert seit: 20.01.2005 Beiträge: 1.557 PHP-Kenntnisse: Fortgeschritten	Ich verstehe nicht genau, was du überhaupt erreichen willst, habe aber auch keine unbedingte unstimmigkeit in deinem vorschlag gefunden. Erklär trotzdem mal genauer, was du überhaupt vorhast...

27.10.2005, 14:29
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Irgendwie widerstrebt mir dein Vorschlag. Aber "Unstimmigkeiten" habe ich wie Buhmann gesagt hat, trotzdem auch nicht gefunden. Hmm... Schreib dir aber ne Klasse oder Funktion, die die Übergabe prüft. Innerhalb dieser Funktion kannst du ja dann eben entweder auf die MD5-Checksummen-Liste zurückgreifen, oder wenn dir später was besseres einfällt, die Überprüfung einfach ändern. Für die Anwendung selbst ändert sich dann nichts, da die Validierung ja "geheim" innerhalb der Funktion stattfindet.

27.10.2005, 15:51
Gast Beiträge: n/a	Beispielsweise News. Aufruf eines Newsthemas durch eine ID. Normalerweise muss man diese übergebene ID testen, obs ein INT ist falls ja ein gültige BeitragsID usw. Wöhlmöglich werden davor Funktion wie trim, strip_tags, add_slashes, etc. ausgeführt. Ruft ein User die Newsübersicht auf wird ein Array angelegt. Jedes Element besteht aus einem md5 Hash des z.b. Newstitels + ID. Dieses Array wird wahrscheinlich als Sessionvar gespeichert. Klickt ein User auf ein Thema wird die übergebene Hash gecheckt. Ist der übergebene Hashcode ein Element aus dem News Hash array? Wenn ja sofortiges einsetzen in den SQL String und anzeige der News. Das dürfte sicher sein da Fremdcode sofort einen anderen hash erzeugen würde (ungültiger Newsbeitrag) Eine Überprüfung durch diverse Funktionen fällt dadurch weg.

27.10.2005, 15:55
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Und was wenn jemand auf eine spezielle News direkt verlinkt? Dann gibts keine Hashtable weil er die Übersichtsseite, wo diese erzeugt wird, noch nicht besucht hat ^^ Das ist Quatsch finde ich, mach ein intval($_GET['id']) und such das dann in der Datenbank, wenns nicht gefunden wird kommt ne Fehlerseite oder die Übersichtsseite. Deinen Vorschlag finde ich unsinnig & kompliziert.