Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]
Groups > de.comp.lang.php > #4109 > unrolled thread
| Started by | Jan Novak <repcom@gmail.com> |
|---|---|
| First post | 2017-05-26 12:10 +0200 |
| Last post | 2017-05-26 17:36 +0200 |
| Articles | 6 — 2 participants |
Back to article view | Back to de.comp.lang.php
Speichern von hidden-Objekten in einer Form Jan Novak <repcom@gmail.com> - 2017-05-26 12:10 +0200
Re: Speichern von hidden-Objekten in einer Form Jan Novak <repcom@gmail.com> - 2017-05-26 12:28 +0200
Re: Speichern von hidden-Objekten in einer Form "Christoph M. Becker" <cmbecker69@arcor.de> - 2017-05-26 15:11 +0200
Re: Speichern von hidden-Objekten in einer Form Jan Novak <repcom@gmail.com> - 2017-05-26 15:43 +0200
Re: Speichern von hidden-Objekten in einer Form "Christoph M. Becker" <cmbecker69@arcor.de> - 2017-05-26 16:00 +0200
Re: Speichern von hidden-Objekten in einer Form Jan Novak <repcom@gmail.com> - 2017-05-26 17:36 +0200
| From | Jan Novak <repcom@gmail.com> |
|---|---|
| Date | 2017-05-26 12:10 +0200 |
| Subject | Speichern von hidden-Objekten in einer Form |
| Message-ID | <og8uuj$8k2$2@news.albasani.net> |
Hallo, wenn ich in einer Form ein "hidden Object" speichern will, letztendlich ein Array mit diversen Werten, was wäre da am sinnvollsten? In die Session will ich es nicht speichern. Jan
[toc] | [next] | [standalone]
| From | Jan Novak <repcom@gmail.com> |
|---|---|
| Date | 2017-05-26 12:28 +0200 |
| Message-ID | <og900o$639$1@news.albasani.net> |
| In reply to | #4109 |
Am 26.05.2017 um 12:10 schrieb Jan Novak: > Hallo, > > wenn ich in einer Form ein "hidden Object" speichern will, letztendlich > ein Array mit diversen Werten, was wäre da am sinnvollsten? > In die Session will ich es nicht speichern. habe es selbst gefunden: serialize / unserialize - macht genau was ich brauche. Jan
[toc] | [prev] | [next] | [standalone]
| From | "Christoph M. Becker" <cmbecker69@arcor.de> |
|---|---|
| Date | 2017-05-26 15:11 +0200 |
| Message-ID | <og99hl$l4$1@solani.org> |
| In reply to | #4110 |
Am 26.05.2017 um 12:28 schrieb Jan Novak: > Am 26.05.2017 um 12:10 schrieb Jan Novak: > >> wenn ich in einer Form ein "hidden Object" speichern will, >> letztendlich ein Array mit diversen Werten, was wäre da am sinnvollsten? >> In die Session will ich es nicht speichern. > > habe es selbst gefunden: serialize / unserialize - macht genau was ich > brauche. Siehe dazu aber unbedingt die Warnung auf <http://php.net/manual/en/function.unserialize.php>! -- Christoph M. Becker
[toc] | [prev] | [next] | [standalone]
| From | Jan Novak <repcom@gmail.com> |
|---|---|
| Date | 2017-05-26 15:43 +0200 |
| Message-ID | <og9bdo$b14$1@news.albasani.net> |
| In reply to | #4111 |
Am 26.05.2017 um 15:11 schrieb Christoph M. Becker: > Am 26.05.2017 um 12:28 schrieb Jan Novak: > >> Am 26.05.2017 um 12:10 schrieb Jan Novak: >> >>> wenn ich in einer Form ein "hidden Object" speichern will, >>> letztendlich ein Array mit diversen Werten, was wäre da am sinnvollsten? >>> In die Session will ich es nicht speichern. >> >> habe es selbst gefunden: serialize / unserialize - macht genau was ich >> brauche. > > Siehe dazu aber unbedingt die Warnung auf > <http://php.net/manual/en/function.unserialize.php>! Danke für den Hinweis. Bei den Daten handelt es sich nur um Objektdaten, die noch nicht in der DB stehen (Dokumentenpfade, Dokumenten Namen und Anderes) und völlig "save" sind. Keine sicherheitsrelevanten Daten. Jan
[toc] | [prev] | [next] | [standalone]
| From | "Christoph M. Becker" <cmbecker69@arcor.de> |
|---|---|
| Date | 2017-05-26 16:00 +0200 |
| Message-ID | <og9cdk$2h6$1@solani.org> |
| In reply to | #4112 |
Am 26.05.2017 um 15:43 schrieb Jan Novak: > Am 26.05.2017 um 15:11 schrieb Christoph M. Becker: > >> Am 26.05.2017 um 12:28 schrieb Jan Novak: >> >>> Am 26.05.2017 um 12:10 schrieb Jan Novak: >>> >>>> wenn ich in einer Form ein "hidden Object" speichern will, >>>> letztendlich ein Array mit diversen Werten, was wäre da am >>>> sinnvollsten? >>>> In die Session will ich es nicht speichern. >>> >>> habe es selbst gefunden: serialize / unserialize - macht genau was ich >>> brauche. >> >> Siehe dazu aber unbedingt die Warnung auf >> <http://php.net/manual/en/function.unserialize.php>! > > Danke für den Hinweis. > Bei den Daten handelt es sich nur um Objektdaten, die noch nicht in der > DB stehen (Dokumentenpfade, Dokumenten Namen und Anderes) und völlig > "save" sind. Keine sicherheitsrelevanten Daten. Es geht nicht darum, ob die Daten sensibel sind, sondern darum, dass ein böswilliger Anwender einen serialisierten String "einschleusen" kann, der dann bei der Deserialsierung u.U. Objekte nachlädt und/oder Objekt-Konstruktoren aufrufen kann. Mit json_encode()/json_decode() ist man diesbezüglich auf der sicheren Seite. Und selbst, wenn Du davon ausgehst, dass dieses Formular nur vertrauenswürdige Anwender zu sehen bekommen (bzw. es abschicken können), kannst Du schwerlich eine Phishing-Attacke ausschließen, bei dem das Passwort des Users erbeutet wird. Eine Manipulation des versteckten Formularfelds ist also nicht auszuschließen, falls das Formular von einem öffentlich zugänglichen Webserver verarbeitet wird. -- Christoph M. Becker
[toc] | [prev] | [next] | [standalone]
| From | Jan Novak <repcom@gmail.com> |
|---|---|
| Date | 2017-05-26 17:36 +0200 |
| Message-ID | <og9i28$t3k$1@news.albasani.net> |
| In reply to | #4113 |
Am 26.05.2017 um 16:00 schrieb Christoph M. Becker: > Am 26.05.2017 um 15:43 schrieb Jan Novak: > >> Am 26.05.2017 um 15:11 schrieb Christoph M. Becker: >> >>> Am 26.05.2017 um 12:28 schrieb Jan Novak: >>> >>>> Am 26.05.2017 um 12:10 schrieb Jan Novak: >>>> >>>>> wenn ich in einer Form ein "hidden Object" speichern will, >>>>> letztendlich ein Array mit diversen Werten, was wäre da am >>>>> sinnvollsten? >>>>> In die Session will ich es nicht speichern. >>>> >>>> habe es selbst gefunden: serialize / unserialize - macht genau was ich >>>> brauche. >>> >>> Siehe dazu aber unbedingt die Warnung auf >>> <http://php.net/manual/en/function.unserialize.php>! >> >> Danke für den Hinweis. >> Bei den Daten handelt es sich nur um Objektdaten, die noch nicht in der >> DB stehen (Dokumentenpfade, Dokumenten Namen und Anderes) und völlig >> "save" sind. Keine sicherheitsrelevanten Daten. > > Es geht nicht darum, ob die Daten sensibel sind, sondern darum, dass ein > böswilliger Anwender einen serialisierten String "einschleusen" kann, > der dann bei der Deserialsierung u.U. Objekte nachlädt und/oder > Objekt-Konstruktoren aufrufen kann. Mit json_encode()/json_decode() ist > man diesbezüglich auf der sicheren Seite. > > Und selbst, wenn Du davon ausgehst, dass dieses Formular nur > vertrauenswürdige Anwender zu sehen bekommen (bzw. es abschicken > können), kannst Du schwerlich eine Phishing-Attacke ausschließen, bei > dem das Passwort des Users erbeutet wird. Eine Manipulation des > versteckten Formularfelds ist also nicht auszuschließen, falls das > Formular von einem öffentlich zugänglichen Webserver verarbeitet wird. Hmmm... OK, ich schaue mir mal die json_encode()/json_decode() Funktionen an. THX Jan
[toc] | [prev] | [standalone]
Back to top | Article view | de.comp.lang.php
csiph-web