Hallo zusammen,
um ein Produkt dem Warenkorb hinzuzufügen, verwende ich folgenden Code:
Nun kann eine Person mit einem gefälschten Formular natürlich ein Produkt mit einer x-beliebigen "pid" Nummer in den Warenkorb legen, was natürlich schlecht ist. Eine Möglichkeit wäre natürlich, zu überprüfen, ob $_POST['pid'] in der Produkttabelle existiert. Eine andere Möglichkeit, die mir in den Sinne gekommen ist, ist zu überprüfen, ob das Formular den korrekten Referer hat. Wobei hier oftmals darauf verwiesen wird, dass $_SERVER['HTTP_REFERER'] keine sichere Angabe ist.
Komme ich um eine Datenbankabfrage nicht herum oder gibt es sichere Alternativen?
um ein Produkt dem Warenkorb hinzuzufügen, verwende ich folgenden Code:
PHP-Code:
if (isset($_POST['pid']) && isset($_POST['quantity'])){
$pid = intval($_POST['pid']);
$quantity = intval($_POST['quantity']);
if ($pid && $quantity){
SessionManagement::start();
SessionManagement::getCart()->add($pid, $quantity);
}
}
Komme ich um eine Datenbankabfrage nicht herum oder gibt es sichere Alternativen?
Kommentar