[vz-dev] Zugang zum Frontend absichern

pe82 at gmx.de pe82 at gmx.de
Thu Jan 12 10:25:53 CET 2012


> Michael Pape, 2012-01-11 23:12:
> > Ich weiss, deswegen beschreanke ich auf den bestimmten Pfad
> > (middleware/data) und POST. Daten aus der Middleware heraus bekomm
> > ich ja nur mit GET, und wer GET sagt is genauso raus wie der der
> > nicht von data spricht ;)
> 
> Die HTTP-Methode ist kein sicheres Kriterium. Man kann mit dem
> URL-Parameter "operation" die Aktion überschreiben.

Ja das is mir letzte Nacht noch vorm schlafen gehen aufgefallen :/
Wenn ich es richtig versteh is der Parameter nur zum Testen z.B. über den Browser, oder? Also so verwende ich den im Moment...
Wäre es denkbar den Parameter nur bei Aufrufen über GET zu berücksichtigen?

Hier mal eine Idee: (kann ich erst heute Abend testen)

/lib/Router.php Zeile 166:
- if ($operation = $request->getParameter('operation')) {
+ if (strtolower($request->getMethod())=='get' && $operation = $request->getParameter('operation')) {

Gruß,
Pepe


More information about the volkszaehler-dev mailing list