WBCE CMS – Way Better Content Editing.
You are not logged in.
Pages: 1
Vielleicht bin ich ja etwas leichtfertig, aber muß das echt sein?
<?php // Changed by PCWacht - send secured id instead of plain id ?>
An der Stelle wird die Datenbank-ID der gelisteten Droplets in einen sogenannten "secure string" konvertiert. So steht dann hinterher im Aufruf nicht mehr "?droplet_id=99" sondern sowas wie "?droplet_id=wpEan7kuJQKw6NhnaCNV0w--" - was man zum Verarbeiten natürlich auch wieder zurück konvertieren muß. Also nennt mich ruhig leichtsinnig, aber ist das nicht etwas übertrieben?
Ich habe eine Amazon-Wishlist. Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal
Offline
evtl, um Cross-Site-Scripting zu erschweren? Aber wenn das auch anders gewährleistet ist, erschließt sich mir der Sinn auch nicht so recht.
Sorgen sind wie Nudeln: man macht sich meist zu viele.
Offline
Da war mal was New Admin-Tool: Droplets / August 15, 2011
MfG. Evaki
Ist ab ;-)
Spass beiseite , Idkeys sind nur eingeführt worden weil Singletab keine mehreren Ftans pro seiten konten.
Idkeys tun genau das, sie verscheiern die ID damit man die nicht raten/wissen kann und den eingelogten Admin oder ein fehlerhaft eingelogtes Script nicht einfach dazu veranlassen kann mit dder ID eine Funktion auszuführen.
Sonst könnte man genauso gut als get Parameter eine Ftan mitgeben, die sicherstellt, das der Admin nicht über einen Vergifteten Link gekommen ist.
Dann kann man IDkey auch möglicherweise weglassen.
Offline
CSRF ließe sich besser erschweren, wenn das Backend auf https liefe, aber das ist ein anderes Faß.
Ich hab das jetzt mal weggelassen und übergebe die IDs wieder, wie sie sind. Das ist ja nun bei den Droplets auch nicht gefährlicher als anderswo.
Ich habe eine Amazon-Wishlist. Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal
Offline
ich hatte ja schon gesagt wenn Du mit den Droplets soweit bist , implementier ich das mit der sicherheit.
Offline
Pages: 1