Zitat von
Matze:
Zitat von
Valle:
[...] - und zwar mit deiner Session und somit auch mit deinen Rechten!
Niemals. Meine Session ist meine und da kommt so leicht keiner außer mir ran. In der Hinsicht bin ich wirklich egoistisch.
Wie machst du das? Woran merkt deine Webseite, ob du den Link selbst angegklickt hast und das Formular auch selbst ausgefüllt hast, oder ob dein Browser nur den Link in der Signatur eines anderen laden wollte und die Formular-Daten von ihm stammen aber von dir abgesendet wurden? Und komm mir nicht mit Referer!
Edit://
Zitat von
alcaeus:
Sorry, aber da ist der Programmierer selbst schuld. Ein POST allein ist keine Loesung, wenn ich nicht validiere hab ich immer noch die Luecke. Ein Beispiel: der Logout im phpBB funktioniert ueber GET, damit er ueber einen Link aufgerufen werden kann. Wenn ich jetzt also die
URL
Code:
http://www.delphipraxis.net/login.php?logout=true
einbetten wuerde, waere der User automatisch ausgeloggt. Aus dem Grund wird einerseits das Fragezeichen als Trennzeichen zwischen
URL und Parametern blockiert, zusaetzlich wird beim Logout auch die korrekte SID verlangt (guck dir einfach den Logout-Link an, dann wirst du sehn was ich meine). Das reicht schon um das Script abzusichern, und zwar ohne eine laestige Nachfrage "willst du dich wirklich ausloggen" und ohne laestigen POST-Request.
Ich habe nicht behauptet, dass POST die Lösung ist! Aber ich bin mir recht sicher, dass Post auf jeden Fall besser ist als GET. Es ist meiner Meinung nach schwerer auszunutzen und hat auch diverse andere Vorteile gegenüber GET, zum Beispiel das mit den Logfiles.
Das mit dem Logout ist mir bekannt, habe ich auch so auf meiner Webseite.
Mit freundlichen Grüßen,
Valle