yanmai
Goto Top

User ID über GET übertragen?

Hallo ihr Administratoren,
ich muss die ID eines Users über $_GET einer PHP Datei übergeben. Die Domain läuft über ein HTTPS Protokoll. Was meint ihr, ist das sicher?

Content-ID: 339762

Url: https://administrator.de/contentid/339762

Ausgedruckt am: 22.11.2024 um 04:11 Uhr

kaiand1
kaiand1 03.06.2017 um 09:44:08 Uhr
Goto Top
Also den Unterschied von GET und POST solltest du mal nachlesen.
Dazu als Regel Alle Eingaben von Usern als Bedrohung Ansehen die Manipuliert sein können und daher die Werte alle Filtern nach Bösen Methoden Injections ect,
Aber Sessions,Cookies kann der User auch Manipulieren da ja einige Daten Zwangsweise beim Browser hinterlegt werden.
100% Sicherheit wirst du nicht erreichen aber du kannst des denen einfach nur Schwer machen diese zu Verändern ohne das es Unbemerkt bleibt.
Dazu kannst du auch die Daten beim Client Crypten und in eine Temporäre DB schreiben das Wert ghbnm,67j5hgf die Kundenid 99 ist.
133417
133417 03.06.2017 aktualisiert um 10:01:29 Uhr
Goto Top
Hi.
Mach dir erst mal klar was GET und POST bedeutet! Bei einer SSL Verbindung wird bevor überhaupt per HTTP Daten übermittelt werden ein sicherer Kanal zwischen Browser und Server hergestellt. Ergo heißt das das sämtliche Daten, auch die URL mit deren GET-Parametern welche immer an die URL angehängt sind von dritten zuerst mal nicht lesbar sind. Aber und jetzt kommt das Problem: Übertragungen per GET landen allesamt in der Browserhistorie und als Referer-Header auf anderem Servern wenn du bspw. von der Userseite auf eine andere Site wechselst, wird deine URL mit auf den Fremden Server übertragen. Also ist bei sowas POST immer vorzuziehen. User-IDs sollte man aber sowieso niemals als einziges Sicherheitsmerkmal einsetzen, das sollte dir eigentlich schon klar sein.

HTTPS Establishes an underlying SSL conenction before any HTTP data is transferred. This ensures that all URL data (with the exception of hostname, which is used to establish the connection) is carried solely within this encrypted connection and is protected from man-in-the-middle attacks in the same way that any HTTPS data is.

All HTTP-level transactions within an HTTPS connection are conducted within the established SSL session, and no query data is transferred before the secure connection is established.

From the outside the only data that is visible to the world it the hostname and port you are connecting to. Everything else is simply a stream of binary data which is encrypted using a private key shared only between you and the server.
http://answers.google.com/answers/threadview/id/758002.html

Gruß