Anmelden
Donnerstag, 5. März 2009, 21:36
$_REQUEST vs. $_GET
Hallo Ihr
Mal eine Frage an Euch:
Findet ihr es für sinnvoll wenn man im Kit alle $_REQUEST Abfragen auf $_GET umstellt?
Meiner Meinung nach sollte man, sofern möglich, auf $_REQUEST verzichten, denn $_REQUEST übernimmt alle Inhalte aus Cookie, POST und GET Variablen. D.h. hier besteht die Möglichkeit, eine Variable zu überschreiben, sollte man für GET bzw. POST denselben Namen benutzen. Hier besteht vor allem die Gefahr, dass ein User Code „einschmuggeln“ kann und so die Sicherheit der Anwendung gefährdet.
Also zb:
in
Ich weiss auch nicht wie der pksm mit sowas umgeht und ob es überhaupt Sinn macht sich die Arbeit zu machen wenn man bereits pksm installiert hat. Was meinen die Experten dazu?
Mal eine Frage an Euch:
Findet ihr es für sinnvoll wenn man im Kit alle $_REQUEST Abfragen auf $_GET umstellt?
Meiner Meinung nach sollte man, sofern möglich, auf $_REQUEST verzichten, denn $_REQUEST übernimmt alle Inhalte aus Cookie, POST und GET Variablen. D.h. hier besteht die Möglichkeit, eine Variable zu überschreiben, sollte man für GET bzw. POST denselben Namen benutzen. Hier besteht vor allem die Gefahr, dass ein User Code „einschmuggeln“ kann und so die Sicherheit der Anwendung gefährdet.
Also zb:
|
Quellcode |
1 |
if(isset($_REQUEST['contentid']) && intval($_REQUEST['contentid'])>0) |
in
|
|
Quellcode |
1 |
if(isset($_GET['contentid']) && intval($_GET['contentid'])>0) |
Ich weiss auch nicht wie der pksm mit sowas umgeht und ob es überhaupt Sinn macht sich die Arbeit zu machen wenn man bereits pksm installiert hat. Was meinen die Experten dazu?
Seit 02.07.2010 Papa einer süssen Tocher !!!!
http://www.burnerfm.de
Mit den besten Hits der 80´s, 90´s und von heute. Plus einigen PHPKit Addons... uvm.
Mit den besten Hits der 80´s, 90´s und von heute. Plus einigen PHPKit Addons... uvm.
Donnerstag, 5. März 2009, 21:53
Ja ist klar aber wenn ich doch genau weiss was ich will also sprich zb. $_post in Formularen und mit $_get will ich zb. eine ID aus der Browserzeile haben, brauche ich doch $_request nicht mehr verwenden da ja eindeutig festgelegt wird was an Daten an die CGI-Schnittstelle gesendet wird
Zitat
Aus Sicherheitsgründen sollte man $_REQUEST gar nicht verwenden, weil man für sensitive Daten (wie z.B. Username+Passwort) sicher stellen will, dass diese aus einem POST-Request kommen. Erlaubt man auch GET-Requests, besteht die Möglichkeit, dass ein CSRF-Angriff durchgeführt wird, indem z.B. eine präparierte Bild-URL in eine (andere) Seite eingeschleust wird.
Seit 02.07.2010 Papa einer süssen Tocher !!!!
http://www.burnerfm.de
Mit den besten Hits der 80´s, 90´s und von heute. Plus einigen PHPKit Addons... uvm.
Mit den besten Hits der 80´s, 90´s und von heute. Plus einigen PHPKit Addons... uvm.
Donnerstag, 5. März 2009, 22:00
Generell ist es richtig was du sagst, allerdings ist es egal wenn man die Übergaben absichert (was man bei allen Übergaben machen muss). Das einzige was passieren kann ist das "Array-Bezeichner" Doppelt verwendet werden, wobei dann einer den kürzeren zieht 
So einfach wie möglich - aber nicht einfacher!
Albert Einstein (1879-1955)
Albert Einstein (1879-1955)
Donnerstag, 5. März 2009, 22:02
Seit 02.07.2010 Papa einer süssen Tocher !!!!
http://www.burnerfm.de
Mit den besten Hits der 80´s, 90´s und von heute. Plus einigen PHPKit Addons... uvm.
Mit den besten Hits der 80´s, 90´s und von heute. Plus einigen PHPKit Addons... uvm.
Donnerstag, 5. März 2009, 22:04
Seit 02.07.2010 Papa einer süssen Tocher !!!!
http://www.burnerfm.de
Mit den besten Hits der 80´s, 90´s und von heute. Plus einigen PHPKit Addons... uvm.
Mit den besten Hits der 80´s, 90´s und von heute. Plus einigen PHPKit Addons... uvm.
Freitag, 6. März 2009, 00:58
zumal das generelle umwandeln der REQUEST's in GET's nicht machbar ist im Kit.
Das PHPKIT verwendet genrell (nicht überall!) REQUEST da es hier und da halt POST & GET sein KANN (!).
Du müsstest dir wirklich rausfischen was GET und was POST ist.. lohnenswert nur bei einer eigenen Homepage...
Machbar schon, aber einen Nutzen hat es nicht... ob du nun die REQUEST's absicherst oder die POST's und GET's ist im endeffeckt shice egal
Das PHPKIT verwendet genrell (nicht überall!) REQUEST da es hier und da halt POST & GET sein KANN (!).
Du müsstest dir wirklich rausfischen was GET und was POST ist.. lohnenswert nur bei einer eigenen Homepage...
Machbar schon, aber einen Nutzen hat es nicht... ob du nun die REQUEST's absicherst oder die POST's und GET's ist im endeffeckt shice egal
  |
 Achtung: Dirk Kántor ist unterwegs! Er verteilt gerne Verwarnungen ohne vorher darüber diskutiert zu haben. |
Freitag, 6. März 2009, 23:34
Seit 02.07.2010 Papa einer süssen Tocher !!!!
http://www.burnerfm.de
Mit den besten Hits der 80´s, 90´s und von heute. Plus einigen PHPKit Addons... uvm.
Mit den besten Hits der 80´s, 90´s und von heute. Plus einigen PHPKit Addons... uvm.
Ähnliche Themen
-
pkSM Support »-
1.6.4 pkSecurityModule v1.1 stopt Chat
(25. Februar 2009, 21:55)
-
- alte Versionen [1.6.03|1.6.1|1.6.4] »
-
Falsche Kategorie bei Kategorieübersicht
(17. August 2008, 13:35)
-
- alte Versionen [1.6.03|1.6.1|1.6.4] »
-
neuen Userstatus erstellen???
(24. Februar 2008, 17:54)
-
- Bug- Securityfix Archiv »
-
login/userinfo.php
(14. November 2007, 10:07)
-
- Bug- Securityfix Archiv »
-
content/news.php
(14. November 2007, 10:01)
