Citat:
Originally posted by Brazzan@Jan 9 2008, 22:41
ajajaj... ignorera delar av vad jag skrivit. Har suttit med POST och GET i huvudet medans det handlade om sessioner.
Jag står dock fast vid att aldrig köra något i klartext.
|
Hehe... När det gäller att skicka diverse ID via querystringen så håller jag med om att det ger en ökad säkerhet genom att man inte kan "gissa sig fram" via 1, 2, 3 o.s.v.
Men den grundläggande säkerheten ska ändå vara att SQL-frågan matchar på både user (sessions-id) och databas-raden som kommer via GET.
Gör man det så behövs ingen kryptering av datan på querystringen.
Kryptering av "GET-värden" kan skydda om du t.ex. inte skyddat dig mot SQL-injections överallt.