Zur Navigation

Sind header "sicher"?

1 Isildur

Und zwar überlege ich sicherheitsrelevante Bereiche die ein Einloggen erfordern, durch header zu schützen.

Also eine Methoden prüft ob der Benutzer eingeloggt ist und wenn nicht ruft er einen Location-header auf. Die Seite informiert ihn dann und führt ihn via metarefresh zu einem Einloggformular o.ä.

Die Frage ist, ist das sicher wenn ich schreibe:
if([nicht eingeloggt]){header(..)}
//sicherheitsrelevanter code
Das ganze gibt keinen Headerkonflikt, da ich die Ausgaben eh puffer.

07.09.2006 20:02

2 Rudy

ja, solange Du nach header('Location: ... ') auch gleich ob_end_clean() und die() machst.

07.09.2006 20:08

3 Jörg

In Opera kann man serverseitige Weiterleitungen deaktivieren. Ich würde von daher hinter der header-Weiterleitung noch ein exit() einbauen

if([nicht eingeloggt]){
header(..);
exit();
}
//sicherheitsrelevanter code

Edit: da war Rudy 'nen Tick schneller ;)

07.09.2006 20:09 | geändert: 07.09.2006 20:10

Beitrag schreiben (als Gast)





[BBCode-Hilfe]