Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.comp.lang.php > #4113

Re: Speichern von hidden-Objekten in einer Form

From "Christoph M. Becker" <cmbecker69@arcor.de>
Newsgroups de.comp.lang.php
Subject Re: Speichern von hidden-Objekten in einer Form
Date 2017-05-26 16:00 +0200
Organization solani.org
Message-ID <og9cdk$2h6$1@solani.org> (permalink)
References <og8uuj$8k2$2@news.albasani.net> <og900o$639$1@news.albasani.net> <og99hl$l4$1@solani.org> <og9bdo$b14$1@news.albasani.net>

Show all headers | View raw

Am 26.05.2017 um 15:43 schrieb Jan Novak:

> Am 26.05.2017 um 15:11 schrieb Christoph M. Becker:
>
>> Am 26.05.2017 um 12:28 schrieb Jan Novak:
>>
>>> Am 26.05.2017 um 12:10 schrieb Jan Novak:
>>>
>>>> wenn ich in einer Form ein "hidden Object" speichern will,
>>>> letztendlich ein Array mit diversen Werten, was wäre da am
>>>> sinnvollsten?
>>>> In die Session will ich es nicht speichern.
>>>
>>> habe es selbst gefunden: serialize / unserialize - macht genau was ich
>>> brauche.
>>
>> Siehe dazu aber unbedingt die Warnung auf
>> <http://php.net/manual/en/function.unserialize.php>!
> 
> Danke für den Hinweis.
> Bei den Daten handelt es sich nur um Objektdaten, die noch nicht in der
> DB stehen (Dokumentenpfade, Dokumenten Namen und Anderes) und völlig
> "save" sind. Keine sicherheitsrelevanten Daten.

Es geht nicht darum, ob die Daten sensibel sind, sondern darum, dass ein
böswilliger Anwender einen serialisierten String "einschleusen" kann,
der dann bei der Deserialsierung u.U. Objekte nachlädt und/oder
Objekt-Konstruktoren aufrufen kann. Mit json_encode()/json_decode() ist
man diesbezüglich auf der sicheren Seite.

Und selbst, wenn Du davon ausgehst, dass dieses Formular nur
vertrauenswürdige Anwender zu sehen bekommen (bzw. es abschicken
können), kannst Du schwerlich eine Phishing-Attacke ausschließen, bei
dem das Passwort des Users erbeutet wird. Eine Manipulation des
versteckten Formularfelds ist also nicht auszuschließen, falls das
Formular von einem öffentlich zugänglichen Webserver verarbeitet wird.

-- 
Christoph M. Becker

Back to de.comp.lang.php | Previous | NextPrevious in thread | Next in thread | Find similar | Unroll thread

Thread

Speichern von hidden-Objekten in einer Form Jan Novak <repcom@gmail.com> - 2017-05-26 12:10 +0200
  Re: Speichern von hidden-Objekten in einer Form Jan Novak <repcom@gmail.com> - 2017-05-26 12:28 +0200
    Re: Speichern von hidden-Objekten in einer Form "Christoph M. Becker" <cmbecker69@arcor.de> - 2017-05-26 15:11 +0200
      Re: Speichern von hidden-Objekten in einer Form Jan Novak <repcom@gmail.com> - 2017-05-26 15:43 +0200
        Re: Speichern von hidden-Objekten in einer Form "Christoph M. Becker" <cmbecker69@arcor.de> - 2017-05-26 16:00 +0200
          Re: Speichern von hidden-Objekten in einer Form Jan Novak <repcom@gmail.com> - 2017-05-26 17:36 +0200

csiph-web