Variable absolut sicher übergeben?

Hallo,

ich habe eine hoffentlich ganz einfache Frage:

Ich habe auf einer Seite zwei Forms, die eine Variable übergeben
soll. Hier ein Beispielskript:

if(isset($_POST[aktion])){
echo $id;
}else{
print "

Re: Variable absolut sicher übergeben?

michael.fan@lycos.de schrieb:

Du wurdest schon mehrmals darauf hingewiesen das Du bitte Deinen Namen +
Vornamen angeben sollst und nicht Deine Mailadresse!

> ich habe eine hoffentlich ganz einfache Frage:

Änder das erst mal mit Deinem Namen.

Re: Variable absolut sicher übergeben?

michael.fan@lycos.de wrote:

> Ich habe auf einer Seite zwei Forms, die eine Variable übergeben
> soll. Hier ein Beispielskript:
>
> if(isset($_POST[aktion])){
> echo $id;
> }else{
> print "

Re: Variable absolut sicher übergeben?

michael.fan@lycos.de schrieb:

> Ich habe auf einer Seite zwei Forms, die eine Variable übergeben
> soll. Hier ein Beispielskript:

Wäre es Dir möglich den Source so zu koden, dass man nicht Augekrebst
bekommt?

if(isset($_POST[aktion])){
echo $id;
}else{
print "

Re: Variable absolut sicher übergeben?

Zeig mir, wie ich das bei Google-Groups machen kann, dann mache ich das.

Re: Variable absolut sicher übergeben?

Martin Lemke schrieb:

> michael.fan@lycos.de schrieb:
>
> > Ich habe auf einer Seite zwei Forms, die eine Variable übergeben
> > soll. Hier ein Beispielskript:
>
> Wäre es Dir möglich den Source so zu koden, dass man nicht Augekrebst
> bekommt?
>
> if(isset($_POST[aktion])){
> echo $id;
> }else{
> print "";
> print "";
> print "";
> print "";
> print "

Re: Variable absolut sicher übergeben?

michael.fan@lycos.de schrieb:

> Zeig mir, wie ich das bei Google-Groups machen kann, dann mache ich das.

http://www.fh-flensburg.de/wt/usenet/Hinweise_fuer_Google-Po ster.txt

MfG, Ulf

Re: Variable absolut sicher übergeben?

michael.fan@lycos.de schrieb:

> nein, um ein Menü geht es nicht. Ich möchte nur anhand einer Form
> eine Variable übergeben und vermeiden, dass jemand diese ändert.

Das kannst Du nicht.

> Korrigiere mich bitte, wenn ich falsch liege, aber gesetz den Fall ich
> lade mein Skript hoch und es liegt auf
> http://www.meinehp.de/augenkrebs.php

Bitte z.B. example.com verwenden sonst erzeugst Du evtl. auf dem von Dir
geposteten Link Traffic der nicht erwünscht ist.

> dann könnte doch jeder bei sich zu Hause ebenfalls ein Skript basteln,
> der mit action="www.meinehp.de/au...." mein Skript anspricht und eine
> beliebige ID übergeben.

Jeder kann Daten senden. Klar.

> Genau das möchte ich vermeiden....

Kannst Du nicht. Ohne Inputprüfung und Behandlung geht da garnix.

MfG, Ulf

Re: Variable absolut sicher übergeben?

Ulf Kadner schrieb:

> michael.fan@lycos.de schrieb:
>
> > Zeig mir, wie ich das bei Google-Groups machen kann, dann mache ich das.
>
> http://www.fh-flensburg.de/wt/usenet/Hinweise_fuer_Google-Po ster.txt
>
> MfG, Ulf


Hoffe es hat geklappt. Danke

Re: Variable absolut sicher übergeben?

> Kannst Du nicht. Ohne Inputprüfung und Behandlung geht da garnix.

Was für eine Inputprüfung meinst Du?

Gibt es noch eine andere Möglichkeit außer mit POST & GET? Kann ich
über eine Form eine Variable in eine Session schreiben?

Danke
Micha

Re: Variable absolut sicher übergeben?

michael.fan@lycos.de schrieb:

> nein, um ein Menü geht es nicht. Ich möchte nur anhand einer Form
> eine Variable übergeben und vermeiden, dass jemand diese ändert.

Das geht nicht. Mit entsprechenden Tools kann jeder eine ANfrage an
deinen Server einfach neu zusammenbauen und dir schicken, was er will.

> Korrigiere mich bitte, wenn ich falsch liege, aber gesetz den Fall
> ich lade mein Skript hoch und es liegt auf
> http://www.meinehp.de/augenkrebs.php
> dann könnte doch jeder bei sich zu Hause ebenfalls ein Skript
> basteln, der mit action="www.meinehp.de/au...." mein Skript
> anspricht und eine beliebige ID übergeben.
> Genau das möchte ich vermeiden....
>
> Oder irre ich mich?

Davon abgesehen, daß die action mit http:// beginnen müßte: die einzige
Möglichkeit, das zu machen, wäre m.E., wenn du in das Formular noch
hidden einen eindeutigen Identifier einbaust, der das Formular genau
bezeichnet. Dann prüfst du, wenn die Daten übertragen werden, ob diese zu
der mtigelieferten ID passen.

Beispiel: dein Formular (nicht "Form". Das deutsche Wort "Form" ist NICHT
mit dem englischen Wort "form" bedeutungsgleich; das deustche "Form"
meint im Englischen vielmehr "shape" o.ä.) sieht in entwa so aus:

Re: Variable absolut sicher übergeben?

Martin Lemke schrieb:

> Wäre es Dir möglich den Source so zu koden, dass man nicht
> Augekrebst bekommt?
>
> if(isset($_POST[aktion])){
> echo $id;
> }else{
> print "

Re: Variable absolut sicher übergeben?

Holger Pollmann schrieb:

> michael.fan@lycos.de schrieb:
>
> > nein, um ein Menü geht es nicht. Ich möchte nur anhand einer Form
> > eine Variable übergeben und vermeiden, dass jemand diese ändert.
>
> Das geht nicht. Mit entsprechenden Tools kann jeder eine ANfrage an
> deinen Server einfach neu zusammenbauen und dir schicken, was er will.
>
> > Korrigiere mich bitte, wenn ich falsch liege, aber gesetz den Fall
> > ich lade mein Skript hoch und es liegt auf
> > http://www.meinehp.de/augenkrebs.php
> > dann könnte doch jeder bei sich zu Hause ebenfalls ein Skript
> > basteln, der mit action=3D"www.meinehp.de/au...." mein Skript
> > anspricht und eine beliebige ID übergeben.
> > Genau das möchte ich vermeiden....
> >
> > Oder irre ich mich?
>
> Davon abgesehen, daß die action mit http:// beginnen müßte: die ein=
zige
> Möglichkeit, das zu machen, wäre m.E., wenn du in das Formular noch
> hidden einen eindeutigen Identifier einbaust, der das Formular genau
> bezeichnet. Dann prüfst du, wenn die Daten übertragen werden, ob dies=
e zu
> der mtigelieferten ID passen.
>
> Beispiel: dein Formular (nicht "Form". Das deutsche Wort "Form" ist NICHT
> mit dem englischen Wort "form" bedeutungsgleich; das deustche "Form"
> meint im Englischen vielmehr "shape" o.ä.) sieht in entwa so aus:
>
>

Re: Variable absolut sicher übergeben?

Michael Fana schrieb:

> Was für eine Inputprüfung meinst Du?

Sowas wie der von mir vorgeschlagene Filter. Ansonsten kannst Du natürlich
auch überprüfen, ob die Daten eventuell von einem fremden Host kommen. IPs
zu vergleichen ist ja so aufwändig nicht.

Martin

Re: Variable absolut sicher übergeben?

Michael Fana schrieb:

> vielen Dank erstmal für Deine ausführliche Antwort. Den Identifier
> als Hiddenfeld zu übergeben könnte man doch auch von einem eigenen
> Skript machen, oder?

Gewiss, aber diese ID soll ja nicht fest kodiert sein, sondern für jeden
Zugriff wird eine neue erzeugt. Mit Session bist Du sicher auf dem
richtigen Weg.

Martin

Re: Variable absolut sicher übergeben?

Michael Fana schrieb:

> Hoffe es hat geklappt.

Es hat. Dank an Ulf für seinen Einsatz.

Martin

Re: Variable absolut sicher übergeben?

michael.fan@lycos.de schrieb:

>> Wäre es Dir möglich den Source so zu koden, dass man nicht Augekrebst
>> bekommt?
[...]
> [...] es liegt auf
> http://www.meinehp.de/augenkrebs.php

Deine Selbstironie ist vortrefflich! Ich habe mich sehr amüsiert.

Martin

Re: Variable absolut sicher übergeben?

Michael Fana wrote:

> Das bringt mich auf eine Idee - könnte man nicht die
> Session übergeben und dann auf der Seite überprüfen?

Besser spät als nie. Den Tip "Sessions" hab ich dir übrigens schon mal
auf deine Posting vom 22.10. "POST / Referrer" hin gegeben ;-)

Gruß,
Jens

--
Der Kluegere gibt nach - Eine traurige Wahrheit:
sie begruendet die Weltherrschaft der Dummen.
- Marie von Ebner-Eschenbach

Re: Variable absolut sicher übergeben?

[30 Oct 2006 02:27:16 -0800/michael.fan@lycos.de]

> nein, um ein Menü geht es nicht. Ich möchte nur anhand einer Form
> eine Variable übergeben und vermeiden, dass jemand diese ändert.
>
> Korrigiere mich bitte, wenn ich falsch liege, aber gesetz den Fall ich
> lade mein Skript hoch und es liegt auf
> http://www.meinehp.de/augenkrebs.php
> dann könnte doch jeder bei sich zu Hause ebenfalls ein Skript basteln,
> der mit action="www.meinehp.de/au...." mein Skript anspricht und eine
> beliebige ID übergeben.
> Genau das möchte ich vermeiden....

Eine mithelfende Methode wäre, sicherzustellen, dass sich der
Absender auf Deiner Website befindet. Beispielsweise prüfen, ob die
Formularseite vorher vom Server auch ausgeliefert wurde. In einer
Session lässt sich einfach ein Flag dazu setzen, welches nach
Abarbeitung des (somit erwarteten) Submits wieder gelöscht wird.
Mit einer halbwegs guten Session-ID-Prüfung bleiben
selbstgebastelte Forms/Skripte draussen. Zumindest die von Spammern
ohne zielgerichtetes Angriffsmotiv.


grüsse
michael

Re: Variable absolut sicher übergeben?

Jens Riedel schrieb:

> michael.fan@lycos.de wrote:
>
>> print "

Re: Variable absolut sicher übergeben?

Holger Pollmann schrieb:

> Ich finde, einzig und allen (TM) richtig sieht es so aus:
>
> if(isset($_POST[aktion])){
> echo $id;
> } else {
> echo "

Re: Variable absolut sicher übergeben?

> Eine mithelfende Methode wäre, sicherzustellen, dass sich der
> Absender auf Deiner Website befindet. Beispielsweise prüfen, ob die
> Formularseite vorher vom Server auch ausgeliefert wurde. In einer
> Session lässt sich einfach ein Flag dazu setzen, welches nach
> Abarbeitung des (somit erwarteten) Submits wieder gelöscht wird.

Hallo Michael,

vielen Dank für Deinen Tipp. Hast Du zufällig ein Beispiel oder einen
Link zu einer Online-Doku, wo ich dieses mal nachlesen kann.
Danke schonmal!
Gruß
Micha

Re: Variable absolut sicher übergeben?

Jens Riedel schrieb:

> Michael Fana wrote:
>
> > Das bringt mich auf eine Idee - könnte man nicht die
> > Session übergeben und dann auf der Seite überprüfen?
>
> Besser spät als nie. Den Tip "Sessions" hab ich dir übrigens schon mal
> auf deine Posting vom 22.10. "POST / Referrer" hin gegeben ;-)
>
> Gruß,
> Jens
>
> --
> Der Kluegere gibt nach - Eine traurige Wahrheit:
> sie begruendet die Weltherrschaft der Dummen.
> - Marie von Ebner-Eschenbach

Hallo Jens,

habe ich mir zu Herzen genommen ;-)
Scheint mir ein klitzekleinesbischen sicherer. ;-)

Danke
Micha

Re: Variable absolut sicher übergeben?

Am 30.10.2006, 14:24 Uhr, schrieb Michael Fana :
>> Session lässt sich einfach ein Flag dazu setzen, welches nach
>> Abarbeitung des (somit erwarteten) Submits wieder gelöscht wird.

Ohne Garantie, ob das sicher genug ist - ich würde es so machen: Beim
Aufruf der Seite mit den Formularen wird eine Variable in die Session
geschrieben, zum Bleistift:

$_SESSION['erlaubt']="ok";

In der empfangenden Seite schaue ich dann nach, ob diese gesetzt ist:

if ($_SESSION['erlaubt']=="ok") {
tu was
}
$_SESSION['erlaubt']="";

Re: Variable absolut sicher übergeben?

Am 30.10.2006, 14:24 Uhr, schrieb Michael Fana :
Session lässt sich einfach ein Flag dazu setzen, welches nach
Abarbeitung des (somit erwarteten) Submits wieder gelöscht wird.

Ohne Garantie, ob das sicher genug ist - ich würde es so machen: Beim
Aufruf der Seite mit den Formularen wird eine Variable in die Session
geschrieben, zum Bleistift:

$_SESSION['erlaubt']="ok";

In der empfangenden Seite schaue ich dann nach, ob diese gesetzt ist:

if ($_SESSION['erlaubt']!="ok") die('So nicht');
$_SESSION['erlaubt']="";

Gruß

Re: Variable absolut sicher übergeben?

Holger Pollmann schrieb:
> Boah, kannst du sowas nicht mal coden, so daß man keinen Augenkrebs davon
> bekommt? Ich finde, einzig und allen (TM) richtig sieht es so aus:

Und alles durch den Parser jagen?


> P.S.: In diesem Posting ist Ironie versteckt. Wer sie findet, kriegt
> einen Preis.

Die doppelten Anführungszeichen, wo es auch einfache tun würden?


Grüße,
Dirk



--
"Machen Sie sich erstmal unbeliebt, dann werden
Sie auch ernst genommen" - Konrad Adenauer

Re: Variable absolut sicher übergeben?

Claus Reibenstein schrieb:

>> echo "

Re: Variable absolut sicher übergeben?

Holger Pollmann schrieb:

> Claus Reibenstein schrieb:
>
>>> echo "

Re: Variable absolut sicher übergeben?

..oO(Claus Reibenstein)

>Na gut. Du hast es so gewollt. Aber dass Du Dich hinterher ja nicht
>beschwerst! Ich hatte ich gewarnt!
>
>Erstens: Einen String in "" zu setzen, obwohl in diesem String nichts
>enthalten ist, weswegen er noch geparst werden müsste, kostet nur
>unnötig Ressourcen. Zumal, wie in diesem Fall, HTML sowohl '' als auch
>"" zulässt. Also lässt sich z.B. "" auch
>als '' schreiben.

Ein "\n" am Ende kann durchaus die Lesbarkeit des erzeugten HTML-Codes
verbessern.

>Zweitens: echo string1 . string2; kostet ebenfalls nur unnötig
>Ressourcen, da hier erst aus den beiden Teilstrings (bei Dir sind es
>sogar deren 8) ein Gesamtstring zusammengebaut wird, der dann zur
>Ausgabe gelangt. Besser ist da echo string1, string2;, da hierbei die
>Strings einzeln direkt ausgegeben werden.

Optimierung ist was anderes.

>Reicht das für's erste?

Reine Esoterik. Die wirklichen Fehler hast Du nicht genannt.

Micha

Re: Variable absolut sicher übergeben?

Claus Reibenstein schrieb:

>>> Auweia! Soll ich mal aufzählen, was da alles an Unsinn drin
>>> steckt?
>>
>> Ja! Bitte! Gerne!
>
> Na gut. Du hast es so gewollt. Aber dass Du Dich hinterher ja nicht
> beschwerst! Ich hatte ich gewarnt!

Das muß ich abkönnen. Laß kommen,

> Erstens: Einen String in "" zu setzen, obwohl in diesem String
> nichts enthalten ist, weswegen er noch geparst werden müsste,
> kostet nur unnötig Ressourcen.

Yup. Ich hätte das ja auch nie so geschrieben. Die doppelten
Anführungszeichen waren ja auch gar nicht von mir, die habe ich nur
beibehalten.

> Zweitens: echo string1 . string2; kostet ebenfalls nur unnötig
> Ressourcen, da hier erst aus den beiden Teilstrings (bei Dir sind
> es sogar deren 8) ein Gesamtstring zusammengebaut wird, der dann
> zur Ausgabe gelangt. Besser ist da echo string1, string2;, da
> hierbei die Strings einzeln direkt ausgegeben werden.
>
> Reicht das für's erste?

Ja. Ich möchte an dieser Stelle nur nochmal betonen, daß mein Posting
ironisch war. Ich wollte eigentlich mehr darauf hinaus, daß die von
Martin als "richtige" Variante geäußerte m.E. nicht sonderlich optimal
war.

>> (Bitte beachten, daß der HTML-Code nicht von mir ist.)
>
> Um den geht es mir auch gar nicht, sondern nur um den PHP-Code.

Das war nur für den Fall, daß du aus irgend einem Grund jetzt auch noch
an dem HTML-Code rummäkeln wollen würdest :-)

--
( ROT-13 if you want to email me directly: uvuc@ervzjrexre.qr )
"Das saarl. VwVfG läßt eine Interpretation deutscher Gesetze nur dann
zu, wenn sie nicht eindeutig sind." Manfred Saar, Präsident
Apothekerkammer d. Saarlandes. heute-journal v. 8. August 2006.

Re: Variable absolut sicher übergeben?

Holger Pollmann schrieb:

>> Erstens: Einen String in "" zu setzen, obwohl in diesem String
>> nichts enthalten ist, weswegen er noch geparst werden müsste,
>> kostet nur unnötig Ressourcen.

> Yup.

Nein, nein. Das ist falsch und man erkennt daran lediglich,
daß der "Behaupter" von obigem nichts über A oder C(++) weiß
und darüber, wie PHP (und sogar jede Programmiersprache) auf
einer tieferen Ebene realisiert wird...

(Nur so, nebenbei...)

fG
--

Re: Variable absolut sicher übergeben?

Claus Reibenstein wrote:

> Ich bevorzuge allerdings eher diese Version:
>
> echo '',
> '',
> '',
> '';
>

Ich bevorzuge:

....
?>

Re: Variable absolut sicher übergeben?

Hey cool, lauter sachliche Replies zum Thema bisher...

Kannst Du nicht. Du solltest Dir die Frage stellen, ob Du den Wert der
Variable, den Du mit Hidden übergibst, nicht auch anders haben kannst.
Beispielsweise habe ich schon Werte gesehen, die mit hidden übergeben
wurden, obwohl sie dem Skript beispielsweise durch eine entsprechende
Datenbankabfrage hätten bekannt sein können.

> Wie kann ich die Variable sicher übergeben, so dass ich bei "echo
> $id;" ganz sicher sein kann, dass auch wirklich die richtige ID
> übergeben wurde?