Zitat:
Zitat von bernie33
Ja die Sicherheitslücke war mir bekannt und deshalb prüfe ich schon, ob er das darf. ;)
Frage: Ist es keine Sicherheitslücke, wenn ich die Eingaben nicht filtere? Es wird doch eine mysql-Abfrage aus ID gemacht? Kannst du mir das bitte erklären?
|
Beispiel: dem hans gehört die nachricht 1, dem karl die nachricht 2. wenn der hans jetzt das formular sieht und böswillig ist, schickt er an dein script frecherweise ein POST-request in dem steht, dass die nachricht 2 gelöscht werden soll. dann wird (bisher) nachricht 2 gelöscht, obwohl sie eigentlich karl gehört und der sie gar nicht löschen will. beantwortet das deine frage?
Zitat:
Aber ansonsten: Funktioniert! Vielen, vielen Dank ! :) :)
Gut, dass es auch noch Leute gibt, die einem helfen. Echt nett von dir! Ich dachte schon, ich bekomme es nie hin.
|
bittebitte nichts leichter als das :-)