GET-Variablen im IE7

Hallo,
ich weiß, dass meine Frage nur entfernt mit PHP zu tun hat. Da ich aber
nicht weiß, wo ich sie sonst einordnen soll, stelle ich sie mal hier.

Eine meiner PHP-Applikationen prüft GET-Formulareingaben aus
Sicherheitsgründen auf einige Kriterien, beendet bei kritischen Eingaben
das Script und sendet mir eine Mail mit dem Variablennamen, dem Inhalt
und einigen anderen Infos ($_SERVER und $_SESSION).
In letzter Zeit bekomme ich viele Mails mit Variableninhalten, die aus
einem offensichtlich vom User eingegebenen Wert bestehen und einer
angehängten 8-stelligen HEX-Zufallskombination.

Beispiele:
geprüfte Variable: "spieltag"
Wert der Variable: "2169d4b2c"
(logischer Wert: 2)

geprüfte Variable: "action"
Wert der Variable: "enter9e5534d4"
(logischer Wert: "enter")

Alle diese Fehlermails haben eine Gemeinsamkeit:
HTTP_USER_AGENT: Mozilla/4.0 (compatible; MSIE 7.0; ...)

Scheinbar verändert der IE7 GET-Variablen?!?
Habe im Netz keine Infos zu diesem Problem gefunden, weiß hier jemand etwas?

Danke und viele Grüße,
KFH

Re: GET-Variablen im IE7

Erhälst Du diese 'seltsamen' Werte auch, wenn Du selbst mit IE7.0 Werte
in Dein Formular einträgst? Wenn nicht, prüft wahrscheinlich jemand ob
man Dein Skript auch für andere Sachen (z.B. Spammails) verwenden kann ...

Klausfriedrich Hubertus wrote:
> Hallo,
> ich weiß, dass meine Frage nur entfernt mit PHP zu tun hat. Da ich aber
> nicht weiß, wo ich sie sonst einordnen soll, stelle ich sie mal hier.
>
> Eine meiner PHP-Applikationen prüft GET-Formulareingaben aus
> Sicherheitsgründen auf einige Kriterien, beendet bei kritischen Eingaben
> das Script und sendet mir eine Mail mit dem Variablennamen, dem Inhalt
> und einigen anderen Infos ($_SERVER und $_SESSION).
> In letzter Zeit bekomme ich viele Mails mit Variableninhalten, die aus
> einem offensichtlich vom User eingegebenen Wert bestehen und einer
> angehängten 8-stelligen HEX-Zufallskombination.
>
> Beispiele:
> geprüfte Variable: "spieltag"
> Wert der Variable: "2169d4b2c"
> (logischer Wert: 2)
>
> geprüfte Variable: "action"
> Wert der Variable: "enter9e5534d4"
> (logischer Wert: "enter")
>
> Alle diese Fehlermails haben eine Gemeinsamkeit:
> HTTP_USER_AGENT: Mozilla/4.0 (compatible; MSIE 7.0; ...)
>
> Scheinbar verändert der IE7 GET-Variablen?!?
> Habe im Netz keine Infos zu diesem Problem gefunden, weiß hier jemand etwas?
>
> Danke und viele Grüße,
> KFH


--
--------------------------------------------
m2m server software gmbh - http://www.m2m.at

Re: GET-Variablen im IE7

m2m tech schrieb:
> Erhälst Du diese 'seltsamen' Werte auch, wenn Du selbst mit IE7.0 Werte
> in Dein Formular einträgst? Wenn nicht, prüft wahrscheinlich jemand ob
> man Dein Skript auch für andere Sachen (z.B. Spammails) verwenden kann ...

Hallo,
Es sind alles eingeloggte User, von denen diese Werte kommen. Und das
sind (sie mögen es mir verzeihen) zum größten Teil absolute DAUs. Die
Tests auf spamanfällige Formulare kenne ich auch, die sind es definitiv
nicht.
Nutze selber Linux und wollte mir mein parallel vorhandenes Windows
nicht mit dem IE7 versauen, aber wenn dieses Problem niemandem bekannt
ist, werde ich es wohl zum Testen tuen müssen ;-)

Viele Grüße,
KFH

> Klausfriedrich Hubertus wrote:
>> Hallo,
>> ich weiß, dass meine Frage nur entfernt mit PHP zu tun hat. Da ich aber
>> nicht weiß, wo ich sie sonst einordnen soll, stelle ich sie mal hier.
>>
>> Eine meiner PHP-Applikationen prüft GET-Formulareingaben aus
>> Sicherheitsgründen auf einige Kriterien, beendet bei kritischen Eingaben
>> das Script und sendet mir eine Mail mit dem Variablennamen, dem Inhalt
>> und einigen anderen Infos ($_SERVER und $_SESSION).
>> In letzter Zeit bekomme ich viele Mails mit Variableninhalten, die aus
>> einem offensichtlich vom User eingegebenen Wert bestehen und einer
>> angehängten 8-stelligen HEX-Zufallskombination.
>>
>> Beispiele:
>> geprüfte Variable: "spieltag"
>> Wert der Variable: "2169d4b2c"
>> (logischer Wert: 2)
>>
>> geprüfte Variable: "action"
>> Wert der Variable: "enter9e5534d4"
>> (logischer Wert: "enter")
>>
>> Alle diese Fehlermails haben eine Gemeinsamkeit:
>> HTTP_USER_AGENT: Mozilla/4.0 (compatible; MSIE 7.0; ...)
>>
>> Scheinbar verändert der IE7 GET-Variablen?!?
>> Habe im Netz keine Infos zu diesem Problem gefunden, weiß hier jemand
>> etwas?
>>
>> Danke und viele Grüße,
>> KFH
>
>

Re: GET-Variablen im IE7

Klausfriedrich Hubertus wrote:

> Es sind alles eingeloggte User, von denen diese Werte kommen.

Ist denn sichergestellt das diese auch alle vertrauenswürdig sind? Wenn
ja, Wie?

> Tests auf spamanfällige Formulare kenne ich auch, die sind es definitiv
> nicht.

Das glaube ich Dir zwar, aber bist Du 100%ig sicher das Du kein
mögliches Törchen vergessen hast? ;-)

> Nutze selber Linux und wollte mir mein parallel vorhandenes Windows
> nicht mit dem IE7 versauen, aber wenn dieses Problem niemandem bekannt
> ist, werde ich es wohl zum Testen tuen müssen ;-)

Du must Dir vor augen führen das der IE7 immer noch Beta ist. Die 3 oder
4 verschiedenen Betas die bereits existieren können durchaus derartige
Fehler erzeugen. Ob Du das nachvollziehen kannst wage ich zu bezweifeln.
Ich hab hier die 1. Beta am Laufen. Damit ist mir bisher noch kein
solcher Fehler aufgefallen. Es wird wohl einer Sein der da nen bischen
rumspielt aber noch nicht all zu viel davon versteht.

Kann auch sein das ich total daneben liege, sind halt alles nur Vermutungen.

Log doch einfach bei welchen eingelogten Nutzer dieses Verhalten an den
Tag tritt und schliesse Ihn aus wenn Sich das wiederholt.

MfG, Ulf

PS.:
Ich empfehle Dir folgendes mal zu lesen und bitte zu *beachten*:
http://einklich.net/usenet/zitier.htm