URL vor Manipulation schützen

argon · 24. Sep 2007, 10:00

Hallo zusammen,

Ich habe den Code unten in das Authentifizierungs-Template eingebaut.
Anhand des Login-Names möchte ich den User auf seinen Artikel weiterleiten. Funktioniert auch soweit.

Es gibt aber ein Problem:
Wenn sich USER1 eingeloggt hat, dann kann er in der Browser-Adressleiste einfach die Artikel-Id ändern und hat somit Zugriff auf den Artikel von USER2. Wie kann man diese Manipulation verhindern?

Code: Alles auswählen

...
/* Umleitung */
switch ($FORM['loginname']) {
case "user1":
header("Location:http://".$_SERVER['HTTP_HOST']."/rex_cms/index.php?article_id=5&clang=".$REX['CUR_CLANG']);
break;
case "user2":
header("Location:http://".$_SERVER['HTTP_HOST']."/rex_cms/index.php?article_id=6&clang=".$REX['CUR_CLANG']);
break;
}
/* Ende Umleitung */
...

Gruß argon

argon · 25. Sep 2007, 08:39

Guten Morgen,

weiß das keiner, oder ist die Frage zu banal? ...

Gruß argon

argon · 27. Sep 2007, 10:38

wieder einmal guten Morgen,

leider immer noch kein Kommentar zu meiner Frage.

Mag den niemand etwas zu meiner Frage schreiben?!

Es ist ja nicht so das ich hier nix mache und nur auf eine Antwort warte, aber ich finde keine Lösung in den anderen Threads.

Nur ein klitzekleiner Hinweis, oder ein Link der mir vielleicht weiterhilf würde mir reichen.

Ich möchte auch keine fertige Lösung auf einem goldenen Präsentierteller serviert, sonder lediglich nur einen kleinen Hinweis.

Ich bin noch nicht besonders erfahren in Redaxo und PHP und habe mir aber vorgenommen beides intensiv zu lernen.

Wäre schön, wenn jemand einem "Neuling" ein bisschen unter die Arme greifen würde, in den anderen Threads habe ich leider keine hilfreiche Information gefunden, deshalb muß ich euch leider hier ein bisschen nerven....

Gruß argon

chris-b · 28. Sep 2007, 20:13

Aaaalso, auch wenn ich nicht raybeam bin ....

Wenn die ganze Authentifizierung richtig funktioniert (sprich richtig installiert und konfiguriert und nicht kaputumprogrogrammiert wurde) wird eine Session aufgemacht. Keine Session, kein Zugriff auf die Seite. In der Session ist u.a. der von Dir abgefragte Login-Name enthalten. Und dann müßte eigentlich bei jeder Seite Deine Abfrage greifen und den Zugriff auf die falsche Seite verhindern.

Setzt u.a. voraus, dass die Authentifizierung sozusagen als aller erstes abgearbeitet wird und dann erst - entsprechend dem Ergebnis - die Seite aufgebaut wird.

Bei mir wird jedenfalls nach dem Aufruf von error_reporting (...) sofort das Authentifizierungsmodul aufgerufen. Und das ist gut so.

Gruß
Christoph

argon · 30. Sep 2007, 14:19

Hallo Christoph,

es geschehen manchmal auch noch Wunder, hatte mit einer
Antwort nicht mehr gerechnet....

Wahrscheinlich wird durch die Weiterleitung, wie ich es umgesetzt
habe, die von Dir erwähnte Session zerstört.

Ich muss mich sicherlich nach einer eleganteren
Lösung umsehen was die Weiterleitung betrifft.

Vielen Dank für Deine Antwort.

Viele Grüße
argon

5. Okt 2007, 23:13

Hi,

welches AUTH Template verwendest du?

Ich meine, dieses hierwürde genau das tun was du brauchst?

Gruß,
Markus