[Galge]

Ich hab ein problem:

ich hab ein formular, das per post an ein anderes Php script gesendet wird. Jetzt hab ich aber in dem einen datei, variablen die ich im anderen script auch brauche. Nun möchte ich diese mitsenden. Also nicht extra ein input feld für diese daten machen, wo der benutzer diese ja eigentlich wieder verändern könnte. Ich will sie versteckt mitsenden. Gibts da irgenwelche möglichkeiten?

[siyabonga]

in einer Session speichern und dann abrufen

[Flor1an]

Funktioniert aber nur wenn beide Dateien auf dem selben Server mit der selben Domain laufen.

[kampfgnom]

um ein wert über ein Formular zu senden den der benutzer weder sehen noch verändern kann, geht über
<input type="hidden" />
aber das is unsicher...denn letztendlich kann alles verändert werden. Da kommt man mit sessions besser

[Basti]

Zitat:

Zitat von kampfgnom

aber das is unsicher...denn letztendlich kann alles verändert werden.

Dass kannst du mit einer gesalzenen Prüfsumme verhindern. Aber Sessions sind der übliche Weg. Allerdings ist das Thema nicht gerade trivial, auch wenn unzählige Bücher und Tutorials hier einen anderen Eindruck vermitteln.

Basti

[kampfgnom]

Das mein ich eigentlich ncicht. Sondern das jeder nutzer inhalte eines hidden feld verändern kann. Weiß nich wie man das mit ner prüfsumme verhindern soll

[Jann Hendrik]

Zitat:

Zitat von kampfgnom

um ein wert über ein Formular zu senden den der benutzer weder sehen noch verändern kann, geht über
<input type="hidden" />

das ist schlicht falsch!

aber das sagst du ja auch selbst:

Zitat:

Zitat von kampfgnom

aber das is unsicher...denn letztendlich kann alles verändert werden.

ALLES, was als COOKIE, GET, POST oder sonstwie vom user kommt ist unsicher!

[Basti]

Zitat:

Zitat von kampfgnom

Das mein ich eigentlich ncicht. Sondern das jeder nutzer inhalte eines hidden feld verändern kann. Weiß nich wie man das mit ner prüfsumme verhindern soll

Du kannst natürlich nicht verhindern, dass er die Daten verändert … genauer gesagt, dir eben jeden beliebigen Request zuschickt. Aber wenn du von den Daten einen Fingerabdruck machst nach einer Methode, die er nicht ebenfalls für alle anderen beliebigen Werte erstellen kann (weil ihm das Salz fehlt), dann siehst du ja, ob die Daten manipuliert wurden oder nicht.

PHP-Code:


function getFingerprint($s)
{
    return md5(Config::getSalt() . $s);
}

function printHiddenField($sName, $sValue)
{
    printf(
        '<input type="hidden" name="%s" value="%s" />',
        $sName,
        htmlspecialchars($sValue));
}

$sDataToPass = serialize(array(…));
$sFingerprint = getFingerprint($sDataToPass);

printHiddenField('data', $sDataToPass);
printHiddenField('fingerprint', $sFingerprint);

// …und nach dem ping pong eben:

$aPostedData = null;

if (isset($_POST['data'])) {

    $sPostedData = unserialize($_POST['data']);
    if (!isset($_POST['fingerprint']) || $_POST['fingerprint'] !== getfingerprint($sPostedData))
        die('no way');
}

// $aData sollte hier nun also unverändert ankommen. 


Aber, wie geschrieben … das macht so eigentlich niemand. Einzig sinniger Fall ist in meinen Augen eben, wenn die Daten tatsächlich über den Browser übermittelt werden müssen, dabei einsehbar sein dürfen aber nicht manipuliert werden dürfen. Und den Fall hatte ich selbst z.B. noch nie.

Einfacher ist es, du speicherst die Daten auf deinem Server in einer Datei und übergibst im Hidden-Field nur den Dateinamen, der so lang und zufällig gewählt ist, dass ihn niemand so einfach erraten kann. Und in etwa das ist es, was die eingebauten Session-Funktionen von PHP tun.

Dazu musst du noch eine unschöne PHP-Eigenart glattbügeln, um eine Session-Fixation auszuschließen, musst ggf. noch ein Timeout für die Sitzung und eine verlässliche maximal erlaubte Zeit zwischen zwei Requests einbauen und sonst noch das ein und andere berücksichtigen.

Basti

[Galge]

Für mein Problem ist das hidden field einfach optimal. Die funktion für die ich es brauche steht eh nur Admins mit den möglichen Rechten zu. Und ausserdem wenn einer die Werte ändernsollte, was bringts ihm? damit ist er genausoweit wie wenn ers normal macht, oder er macht sich selber was kaputt.

Naja aber ansonsten ist das ein sehr Interesantes Thema.

Danke für die schnellen Antworten