9 Apr
2002
9 Apr
'02
15:29
On Tue, Apr 09, 2002 at 04:09:35PM +0200, Bernd Obermayr wrote:
Angenommen Du benutzt ein Formular mit einem InputFeld: method=POST, action="script.cgi", name="input" und verarbeitest die Usereingabe indem Du den Inhalt von input direkt an ein anderes script pipest.
Der User gibt also einmal blablabla ein, klickt auf senden und sieht den POST-String wie er an den Server gesendet wird. Nun braucht er nur nochmal das Formular aufrufen, diesmal gibt er aber direkt die URL ein, bzw aendert die vorherige:
http://www.ratti.de/script.cgi&input=blablabla;rm -rf /
Nachdem das CGI ja als root laeuft... schoene Kacke.
:1,.s/POST/GET/
Besser wird es schon sein, mit GET zu arbeiten.
:-1s/GET/POST/ Peter