$_GET Variablen dürfen manipuliert werden

dieter99 · 26.11.2006, 13:57

Hallo,
ich benutze z.T. statt $_POST und $_SESSION Variablen die $_GET Variablen. Kann ich verhindern das ein User die $_GET Variablen manuall verändert (über die Adresszeile) und somit die Abfrage manipuliert?
Das manuelle ändern in der Adresszeile wird man nicht verhindern können. Gibt es aber Lösungen so dass man "merkt" das die Eingabe manuell geändert wurde?

321 · 26.11.2006, 14:21

Ich behaupte mal NEIN!
Du kannst höchstens prüfen, dass keine Var-Namen oder Var-Inhalte kommen, die Dir nicht passen.

Driver · 26.11.2006, 14:30

Also was ich immer mache, was ganz hilfreich ist, wenn du DB IDs übergibts:

PHP-Code:


			
if((int)$_GET['id'] == 0) {

die()

}

So kann man ganz einfach verhindern, dass über $_GET['id'] was unerwünschtes ins Query kommt. Es werden nur Zahlen außer Null durchgelassen. Bei auto_increment gibts ja keine Null.

rewboss · 26.11.2006, 14:39

Zitat:

Zitat von dieter99

Gibt es aber Lösungen so dass man "merkt" das die Eingabe manuell geändert wurde?

Nein. Denn der Browser führt kein Protokoll darüber, was der Benutzer mit der Adresse macht. Er schickt die Anfrage an den Server. Der Server kann nicht wissen, ob der Benutzer auf einen Link geklickt hat, ein Formular abgeschickt hat oder die Adresse per Hand eingetippt hat.

Deswegen ist die GET-Anfrage alles andere als sicher. Die dient dazu, eine Datenbank abzufragen, also Informationen zu holen. Wenn die Infos nicht allgemein zugänglich sein soll, oder wenn die Abfrage irgendetwas an der Datenbank ändert, ist diese Methode ungeeignet. Deswegen gibt es POST.

manuelito · 26.11.2006, 15:43

Nur mal so: POST Daten sind genauso als unsicher zu betrachten wie GET oder COOKIE ( oder allgemein REQUEST ) Daten. Alle vom Client gesendeten Daten sollten also immer geprüft werden, bevor man sie weiterverarbeitet im Skript.

Mehr dazu hier: http://phpsec.org/projects/guide/

Adromir · 26.11.2006, 21:01

Du könntest das Query als String in eine Session variable speichern, den Querystring auf der nächsten Seite auslesen und dann das vergleichen..

steffenk · 28.11.2006, 10:05

Der User kann manipulieren wie er will.
Du musst sicherstellen, das durch diese Manipulationen nichts passieren kann (z.B. Thema MySQL Injection) und solltest bei falschen Werten auch eine Errorseite einbauen.