Seite 1 von 1
$_POST über Domaingrenzen - wie verhindern?
Verfasst: 25.02.2005 10:46
von lenni
Kann ich verhindern, dass mir jemand $_POST Variablen (z.B. in Form von hidden)
von der Domain xyz an meine Domain abc schickt?
Falls ja: wie?
Lenni
Verfasst: 25.02.2005 12:58
von Blutgerinsel
wie sollte man den als Client eine Postvariable schicken ohne den HTTP Header zu ändern ?
Verfasst: 25.02.2005 13:09
von lenni
Blutgerinsel hat geschrieben:wie sollte man den als Client eine Postvariable schicken ohne den HTTP Header zu ändern ?
<form method="post" action="
http://www.xyz.de/irgendwas.php">
<input type="hidden" name="irgendwas" id="irgendwas" value="irgendwas">
<input type="submit" />
</form>
Den header brauche ich nicht zu ändern. Als action kann ich ein
beliebiges Ziel angeben -> funktioniert
Ich muss natürlich noch wissen, welche Variablen erwartet werden...
Verfasst: 25.02.2005 13:28
von k-5
du kannst ggf auf den http referrer checken .. aber das kann man auch fälschen ..
also nein .. soweit mir bekannt .. gibt es da keine moeglichkeit .. (außer natürlich anständig programmieren .. und jede variable schön auf mögliche fehleingabe testen)
Verfasst: 25.02.2005 13:38
von lenni
k-5 hat geschrieben:du kannst ggf auf den http referrer checken .. aber das kann man auch fälschen ..
Ich werde es über diesen Weg machen. Das reicht für meine Zwecke.
Danke!
Verfasst: 25.02.2005 23:51
von Blutgerinsel
lenni hat geschrieben:Blutgerinsel hat geschrieben:wie sollte man den als Client eine Postvariable schicken ohne den HTTP Header zu ändern ?
<form method="post" action="
http://www.xyz.de/irgendwas.php">
<input type="hidden" name="irgendwas" id="irgendwas" value="irgendwas">
<input type="submit" />
</form>
Den header brauche ich nicht zu ändern. Als action kann ich ein
beliebiges Ziel angeben -> funktioniert
Ich muss natürlich noch wissen, welche Variablen erwartet werden...
Damit schickst du ein Formular an die Stelle und nicht der Client
Und selbst dann wenn jemand sich ein eigenes Formular zusammenbastelt und über eine socket Verbindung an deinen Server schickt passiert da nur was wenn der Programmierer Daten willkürlich und ungeprüft übernimmt.....
Abgesehen davon ist der HTTP-Referer kein Pflichtfeld....
Wer glaubt ich lasse mein Surfverhalten durch Marketing etc. kontrollieren der irrt... Ich fake den Referer oder blocke in bei Warenkörbe generell....
Und wo ist nun dein Problem bzw. dein Schutz.....
Jedes HTTP Paket das durch meinen Rechner geht kann ich abfangen, abändern und auslesen.....Und daran wirst du nichts ändern.
Selbst ein Passwort was in ein Inputfeld eingetragen wurde ist im klartext lesbar.....
Verfasst: 26.02.2005 12:24
von lenni
Blutgerinsel hat geschrieben:
Und wo ist nun dein Problem bzw. dein Schutz.....
Jedes HTTP Paket das durch meinen Rechner geht kann ich abfangen, abändern und auslesen.....Und daran wirst du nichts ändern.
Selbst ein Passwort was in ein Inputfeld eingetragen wurde ist im klartext lesbar.....
Wie bereits gesagt: für meine Zwecke ist die Prüfung des Referers ausreichend.
Wenn kein Referer vorhanden ist, blocke ich sofort ab.