"Jens Gyldenkærne Clausen" <jens@gyros.invalid> wrote in message
news:Xns97A377F0E5893jcdmfdk@gyrosmod.dtext.news.tele.dk...
> Konrad skrev:
>
> > Det kunne jo f.eks være, at man ikke ønskede at nysgerrige
> > typer fik den gode ide at kalde siden med de parametre de har
> > afluret fra adresselinien - er der ingen sikkerhedscheck
> > indbygget (såsom, er kaldet lovligt, hvor kommer det fra osv)
> > kunne man jo godt forestille sig at det kunne være temmelig
> > skadeligt.
>
> Det er en helt bagvendt måde at indbygge sikkerhed på. Det tager
> kun et øjeblik at finde parametre der er skjult i en ramme - så
> hvis det er den eneste sikkerhed man indbygger, er man ilde stedt.
Ja, helt enig. Man bør under alle omstændigheder, før kald eksekveres, sørge
for at checke om et flag er sat i $_SESSION (når nu det handler om PHP). Et
flag der kun kan være sat af ens eget system, er en rimelig god stopklods,
imho! Det er min egen lille kæphest [ret mig hvis det er helt forkert, for
jeg er ret nysgerrig efter at høre hvad nadre bikser med] Selv foretrækker
jeg at "vise" nogle få men (for brugeren) centrale parametre af pædagogiske
grunde, medens de mere essentielle (f.eks et ID) hentes fra
session-variabler. I øvrigt har jeg fået gode ideer fra denne udmærkede side
http://www.devshed.com/c/a/PHP/PHP-Security-Mistakes/