wenn man die maus über ein link häkt wird unten links immer die url angezeigt. kann man das irgendwie unterbinden ?

Gruß Böner

Im IE gibts glaub ich nen Bug, mit dem das geht

Ne im Ernst: Das geht wohl nur per JavaScript, also indem du bei Überfahren des Links (mouseover heißt das Event glaub ich) den Text in der Statuszeile löschst.

---
"S-púrlawits'chkâ A-ngáse gûrewüdíx" - Zaphrot Bibelprox

Wobei das von den meisten Surfern mittlerweile weniger mit Bewunderung, als mit Ärgernis erkannt wird, daher lieber lassen...

---
Lewi = ehemals the_doc

Sowas unterbinden ist dem Surfer gegenüber unfair und nebenbei auch mehr oder weniger völlig unmöglich, da das Browsermäßig gestuert wird. Opera zeigt die Adresse z.B. in einem ToolTip an.

Da das ganze hier aber nichts mit PHP zu tun hat, verschieb ich das Topic mal

es geht darum das der besucher nicht weiß wo er hinkommt ! das soll verhindern das jemand einfach die url in den browser kopiert, und z.B. parameter ändert !

Gruß Böner

böner schrieb am 17.04.2004 17:48 es geht darum das der besucher nicht weiß wo er hinkommt ! das soll verhindern das jemand einfach die url in den browser kopiert, und z.B. parameter ändert !

Du solltest dein Script so schreiben, dass auch ungültige Parameter entsprechend verarbeitet werden können oder zu einer Fehlermeldung führen. Wenn der User den Link haben will, klickt er auf "Verknüpfung kopieren". Und jetzt sag bitte nicht, dass du das per Rechts-Klick-JS verhinderst...

---
Lewi = ehemals the_doc

doch, genau das hatte ich vor !

und es geht nicht um ungültige parameter, sonder um welche die derjenige garnicht haben darf.

Bsp:
User ruft eine Nachricht ab, und ändert in der url einfach die nummer. dann kriegt er nicht seine nachricht, sondern eine andere !

böner schrieb am 17.04.2004 18:02 Bsp: User ruft eine Nachricht ab, und ändert in der url einfach die nummer. dann kriegt er nicht seine nachricht, sondern eine andere !

Bsp:
"User ruft eine Nachricht ab, und ändert in der url einfach die nummer. Script liest Nummer von User über Cookie/Session etc. aus. Script liest nummer von Nachricht über URL aus. Script schaut in der Datenbank nach, ob Empfängernummer der Nachricht == Nummer des Users. Wenn ja, wird die Nachricht angezeigt. Wenn nicht, nicht. So kriegt er nur seine eigenen Nachrichten."

Warum nicht so?

---
Lewi = ehemals the_doc

Clientseitige Verschleierungsversuche als Sicherheitsfeature? Ähm, schlechte Idee.
Vor allem wenn es darum geht eine URL zu verschleiern: Das ist lächerlich. Die sehe ich in der History, wenn ich schnell mal ctrl+d drücke in den Bookmarks, evtl. in der Firewall usw. Mein eigener Browser schickt sie doch als Anfrage an deinen Server, und du willst es irgendwie so drehen dass ich sie nicht mitbekomme??

Mein Firefox ist sowieso so konfiguriert das, was du hier versuchst, nicht zu erlauben (Options > Web Features > Javascript: Allow Javascript to.. change the status bar text: No).

Wie es geht hat noch keiner geschrieben

Javascript:



Link:

Al Blank, löscht das wieder, aber sofort, am Ende macht er das auch noch so!!!

Also echt: Solche Methoden führen dazu, dass alles voller Sicherheitslücken ist. Server prüft nicht nach, was er für Daten bekommt und verarbeitet sie, egal ob sie gültig sind oder nicht. Client versucht zu verhindern, dass ungültige Daten zum Server gelangen, was aber jeder, der etwas Ahnung hat, umgehen kann. Hacker (bzw. Cracker) senden ungültige Daten, Server nimmt sie und bricht durch....so geht das.

Ergo: Bau in deine PHP-Scripts Sicherheitsabfragen ein und prüfe Daten, bevor du sie verarbeitest.

---
"S-púrlawits'chkâ A-ngáse gûrewüdíx" - Zaphrot Bibelprox

Lewi schrieb am 17.04.2004 18:59 böner schrieb am 17.04.2004 18:02 Bsp: User ruft eine Nachricht ab, und ändert in der url einfach die nummer. dann kriegt er nicht seine nachricht, sondern eine andere ! Bsp: "User ruft eine Nachricht ab, und ändert in der url einfach die nummer. Script liest Nummer von User über Cookie/Session etc. aus. Script liest nummer von Nachricht über URL aus. Script schaut in der Datenbank nach, ob Empfängernummer der Nachricht == Nummer des Users. Wenn ja, wird die Nachricht angezeigt. Wenn nicht, nicht. So kriegt er nur seine eigenen Nachrichten." Warum nicht so?

ich wollte nicht extra nochmal auf die db zugreifen. aber ich werd's jetzt wohl so machen.