CMS Made Simple Forums

Hallo,

ich habe im Modul FrontEndUsers einige Felder für eine Gruppe mit dem Feldstatus "Nur lesen" versehen. Auf der Seite "Einstellungen ändern", auf der der Benutzer seine Daten ändern kann, werden die Input-Tags jetzt mit dem Attribut readonly="1" versehen, wodurch diese im Browser ausgegraut und nicht editierbar dargestellt werden.

Wenn ein Benutzer jetzt das readonly manuell entfernt (z.B. mit Hilfe der "Web Developer Toolbar" im Firefox "Make Form Fields Writeable"), kann er die Daten manipulieren.

Es findet also keine serverseitige Prüfung statt, ob der angemeldete Benutzer das überhaupt darf! Ist das so gewollt oder habe ich irgendwo eine Option übersehen?

Grüße

sw

Klingt für mich nicht so als wäre das so gewollt.
"nur-lese-felder" würde ich eher als reinen Text ausgeben anstelle von Iputfeldern.

Das würde ich unbedingt mal nachhaken: http://dev.cmsmadesimple.org/tracker/?a ... unc=browse

(vorher mit Deinen Daten aus dem Forum dort anmelden)

Naja, prinzipiell finde ich readonly-Felder schon sinnvoll, man muss das aber auch serverseitig absichern.

Ich schau mir mal das andere Forum an.

sw wrote: man muss das aber auch serverseitig absichern.

Im Prinzip muss für das Frontend nur geprüft werden um welchen Typ Feld es sich handelt bevor man es in die Datenbank schreibt. Dabei aber nicht von dem ausgehen, was vom Formular gesendet wird, sondern was im Backend für dieses Feld festgelegt wurde.
Das hat Calguy wohl vergessen...