Manipulation einer Auswahlbox?

[DetlevK]

Auf meiner Shop-Webseite habe ich ein Formular, um die Adresse einzugeben. Das Land des Käufers kann nur aus einer vorgegebenen Liste ausgewählt werden.
Die Liste wird über PHP/mySQL gefüllt.
Es gibt zwei Formulare: eines in deutsch und eines in englisch. Der Besucher/Kunde kann die Sprache auswählen.

Heute erhielt ich eine Bestellung aus Belgien, wo das Land in der flämischen Schreibweise "België" angegeben war und (wohl daher?) fälschlicherweise deutsche Versandkosten angegeben wurde.
Die Fehlberechnung der Versandkosten ist jetzt aber eine andere Baustelle und lässt sich durch einen entsprechenden default-Wert wohl in Zukunft verhindern.

Ich schaffe es bei meinem eigenen Machwerk nicht, eine andere Bezeichnung als in der Liste angeboten auszuwählen!
Ich habe es probiert mit Windows XP SP3 und Windows 7. Als Browser habe ich Firefox 26.0 und IE 10 sowie Chrome versucht.
Die Daten kamen aber eindeutig über das Formular, da sie auch korrekt in die Datenbank übernommen wurden!

Gibt es da einen Hack / eine Sicherheitslücke bei Auswahllisten in HTML-Formularen?

[DetlevK]

Ich habe den Fehler gefunden!

Es hat nichts mit der Auswahlbox zu tun.

Manche Browser (z.B. Chrome) bieten eine Übersetzung der Seite an. Dabei werden auch die aus dem Formular kommenden Begriffe (hier z.B. Ländername) übersetzt. Bei Personennamen dürfte das nicht funktionieren, wohl aber bei den Ländernamen!

Jetzt muss ich nur noch einen Weg finden, um sicher zu stellen, dass der original ausgewählte Name zum nächsten Schritt übergeben wird, um vor allem eine korrekte Versandkostenberechnung zu ermöglichen.

Hat da jemand einen Tipp bzw. entsprechende Erfahrung?

Die Liste der Länder enthält nämlich ein Tarifmerkmal, anhand dessen die Zuordnung der Versandkosten erfolgt.

[schrubba]

Hi,

wie verifizierst du die Daten, die an deinen Server geschickt werden?


Gruß

[DetlevK]

Gerade für die Werte aus der Auswahlliste schien mir eine explizite Verifikation entbehrlich.
Auf normalem Wege können schließlich keine ungültigen Werte eingegeben werden.

Ansatz:
Um Veränderungen von Variablen zu vermeiden, müssten in HTML ausgegebene Werte in andere Variablen übergeben werden, um die "Originale" zu schützen. Schließlich werden nur angezeigte Zeichenketten vom Übersetzer verändert.
Oder habe ich da etwas übersehen?

Auf jeden Fall möchte ich verhindern, dass in die Datenbank übertragene Variablen übersetzt werden. Zugleich bin ich aber nicht daran interessiert, Übersetzer generell auszusperren, da diese für die ausländischen Kunden eine wichtige Hilfe sind.

[Ckaos]

Hi

Zitat:

Auf normalem Wege können schließlich keine ungültigen Werte eingegeben werden.

Nunja mit bestimmten Toolbars ist das ein Klick und ich schick dir was ich will ;)

Zitat:

Manche Browser (z.B. Chrome) bieten eine Übersetzung der Seite an

Und der kann man mit HTML entgegenwirken

Code:

<a href="#" class="notranslate">Deutsch</a>

Dokumentationen / Hilfebücher tun nicht so weh wie mancher denkt :/

Zitat:

Auf jeden Fall möchte ich verhindern, dass in die Datenbank übertragene Variablen übersetzt werden.

Ich hab noch nicht gesehen das Quelltext/value übersetzt werden.

MfG

CKaos

[schrubba]

Zitat:

Zitat von DetlevK

Gerade für die Werte aus der Auswahlliste schien mir eine explizite Verifikation entbehrlich.

Das würde ich aber nochmal überdenken!

Eine gute Verifikation hätte die falsche Auswahl der Versandkosten abgefangen. Mal von dem Sicherheitsrisiko abgesehen...


Gruß