$_GET Übergabe mit md5() prüfen

ex³ · 14.12.2005, 19:23

Hatte vor einiger Zeit etwas gelesen, was auf öffentlichen Seiten nichts taugt (beispielsweise sind direkte Links auf eine Seite nicht möglich) wohlmöglich aber für ein Admin Bereich...

Na ja falls da irgendwie einen guten Nutzen haben sollte oder ihr auf mögliche Anwendungsgebiete kommt dürfte ihr es gern posten.

Also gesetz den Fall es gibt ein AdminBereich mit verschiedenen Funktionen und z. B. der Möglichkeit Userdaten zu verwalten. Ein User wird bearbeitet mit der Datei edituser.php?userid=324

Die edituser.php prüft natürlich ob es sich um eine gültige ID handelt. Derzeit mache ich erstmal intval() dann einen DBQuery. Falls False rauskommt ist der Link ungültig. Meines Erachtens doch schon recht ausreichend oder?

Jedenfalls ist mir gekommen beim Aufruf der User Liste alle USERIDs als Hashs in ein (Session?) Array zu schreiben. Klickt der Benutzer auf einen Link wie bsp..edituser.php?hash=32jk23... wird der übergebene String geprüft ob es sich um einen Hash aus dem UserID-Hash-Array handelt. Ist dies der Fall keine weitere Prüfung und User Formular anzeigen.

Was sagt ihr dazu? Möglich wäre doch auch den übergebenen Hash direkt in den Query einzusetzen und dann abzuchecken...allerdings ist das nicht anders als bei IDs...na ja irgendwelche Kommentare?

Jojo · 14.12.2005, 19:37

a) SQL Injection, falls du das gleich in die Query rein tust

b) Sinnlos, weil 1. dann halt mim Hashwert gearbeitet wird und nicht mit der ID und das genauso ausgenutzt werden kann und 2. eine Hashtabelle für Zahlen nun wirklich einfach zu erstellen ist, um z.B. die ID rauszubekommen......

Lars · 14.12.2005, 20:34

Die Variante mit der normalen ID reicht doch vollkommen. Warum auf dem Weg von Hamburg nach Berlin noch über München fahren?

ex³ · 14.12.2005, 22:21

Ich war noch nie in München. Wär doch mal ganz sehenswert.

Dachte eben hier mit den Hashs könnte schon die geringste ungewollte Veränderung des übergebenen Strings unterbunden werden aber ist wirklich nich so ne gute Idee.

14.12.2005, 23:36

Wenn der User nur seine eigenen Daten ändern kann, dann kannst du gleich seine Id in einem Session array speichern.

schifti · 15.12.2005, 08:53

Lass den User vorher einloggen, und prüfe dann seine Rechte, wenn er die Rechte hat (admin), dann ok.

Wenn der User nur sich selber bearbeiten darf, dann checke, ob seine User_ID mit der übergebenen ID übereinstimmt.

14.12.2005, 19:23	Nach oben #1
ex³ Erfahrener Benutzer Registriert seit: 30.10.2005 Beiträge: 274	$_GET Übergabe mit md5() prüfen Hatte vor einiger Zeit etwas gelesen, was auf öffentlichen Seiten nichts taugt (beispielsweise sind direkte Links auf eine Seite nicht möglich) wohlmöglich aber für ein Admin Bereich... Na ja falls da irgendwie einen guten Nutzen haben sollte oder ihr auf mögliche Anwendungsgebiete kommt dürfte ihr es gern posten. Also gesetz den Fall es gibt ein AdminBereich mit verschiedenen Funktionen und z. B. der Möglichkeit Userdaten zu verwalten. Ein User wird bearbeitet mit der Datei edituser.php?userid=324 Die edituser.php prüft natürlich ob es sich um eine gültige ID handelt. Derzeit mache ich erstmal intval() dann einen DBQuery. Falls False rauskommt ist der Link ungültig. Meines Erachtens doch schon recht ausreichend oder? Jedenfalls ist mir gekommen beim Aufruf der User Liste alle USERIDs als Hashs in ein (Session?) Array zu schreiben. Klickt der Benutzer auf einen Link wie bsp..edituser.php?hash=32jk23... wird der übergebene String geprüft ob es sich um einen Hash aus dem UserID-Hash-Array handelt. Ist dies der Fall keine weitere Prüfung und User Formular anzeigen. Was sagt ihr dazu? Möglich wäre doch auch den übergebenen Hash direkt in den Query einzusetzen und dann abzuchecken...allerdings ist das nicht anders als bei IDs...na ja irgendwelche Kommentare?

14.12.2005, 19:37	Nach oben #2
Jojo Irgendwas mit e Registriert seit: 26.08.2005 Ort: Mannheim Beiträge: 390	a) SQL Injection, falls du das gleich in die Query rein tust b) Sinnlos, weil 1. dann halt mim Hashwert gearbeitet wird und nicht mit der ID und das genauso ausgenutzt werden kann und 2. eine Hashtabelle für Zahlen nun wirklich einfach zu erstellen ist, um z.B. die ID rauszubekommen...... __________________ In the beginning was the word and the word was content-type: plain/text heute code ich, morgen debug ich und uebermorgen cast ich die koenigin auf int

14.12.2005, 20:34	Nach oben #3
Lars me pro ok? Registriert seit: 07.09.2005 Ort: Pulheim bei Köln Beiträge: 964	Die Variante mit der normalen ID reicht doch vollkommen. Warum auf dem Weg von Hamburg nach Berlin noch über München fahren? __________________ Gedanken aus Draht stricken einen Zaun.

15.12.2005, 08:53	Nach oben #6
schifti Erfahrener Benutzer Registriert seit: 06.12.2004 Ort: Bayern Beiträge: 179	Lass den User vorher einloggen, und prüfe dann seine Rechte, wenn er die Rechte hat (admin), dann ok. Wenn der User nur sich selber bearbeiten darf, dann checke, ob seine User_ID mit der übergebenen ID übereinstimmt. __________________ MFG Schifti -- Meine Abschlussdokumentation downloaden und mir ein Feedback senden Psychologische Praxis KJG Schwäbisch Gmünd

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Checkboxen prüfen	Garnele	PHP-Programmierung	21	15.05.2007 11:38
prüfen ob ordner oder datei	Igi	PHP-Programmierung	14	26.08.2005 23:27

14.12.2005, 22:21	Nach oben #4
ex³ Erfahrener Benutzer Registriert seit: 30.10.2005 Beiträge: 274	Ich war noch nie in München. Wär doch mal ganz sehenswert. Dachte eben hier mit den Hashs könnte schon die geringste ungewollte Veränderung des übergebenen Strings unterbunden werden aber ist wirklich nich so ne gute Idee.

14.12.2005, 23:36	Nach oben #5
Jay Gast Beiträge: n/a	Wenn der User nur seine eigenen Daten ändern kann, dann kannst du gleich seine Id in einem Session array speichern.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken