Ein Parameter ist in der Informatik ein vernderlicher Wert, der dem Programm bergeben wird und Einfluss auf die weitere Verarbeitung nimmt. Es gibt verschiedene Mglichkeiten der Parameterbergabe zwischen mehreren Unterprogrammen. Auf die meisten hat ein User keinen Einfluss, es gibt aber auch Parameter, die ber die URL weitergegeben werden. Hierbei unterscheidet man bei der Programmiersprache zwischen $_POST und $_GET

$_POST beinhaltet alle Eingaben, welche im Transferpaket mit gesendet werden, aber nicht in der URL aufscheinen. Diese bertragungsmethode ist unlimitiert und wird sehr hufig bei Formulareingaben durchgefhrt, wenn die Eingaben lnger als 255 Zeichen sind oder in der URL nicht angezeigt werden sollen (z.B.: Passwrter nach einem Login).

$_GET ist in der Regel gefhrlicher als $_POST, da diese Werte leichter ber die URL verndert werden knnen. In der Regel ist es aber fr die meisten Angriffe kein Problem auch manipulierte Angriffe ber $_POST zu senden. $_GET wird in der Adressleiste bertragen und ist daher auf maximal 255 Zeichen begrenzt! Diese Methode wird meistens Verwendet, wenn nur wenige Daten bertragen werden sollen. Im Regelfall geschieht dies ber einen Hyperlink. Ein Beispiel wre der Link http://www.wbb-security.de/support/profile.php?userid=1 in diesem Fall wird der Parameter userid mit dem Inhalt 1 bertragen.

In unserem Beispiel wird die Userid bertragen, welche bentigt wird, um das gewnschte Userprofil anzuzeigen. Dieser Parameter darf nur eine Zahl sein und wird daher bei einer gut programmierten Software geprft, ob diese Eingabe wirklich eine Zahl ist, da dieser Parameter vom User verndert werden kann. Ein Angreifer knnte in diesem Beispiel eine SQL-Injection probieren, wenn diese Seite nicht ausreichend geschtzt ist und Passwrter auslesen. Auerdem wre auch ein XSS-Angriff mglich. Daher ist es enorm wichtig, dass Eingaben immer geprft werden. Leider ist dies bei unerfahrenen Entwicklern meist nicht der Fall. Dies kann dazu fhren, dass eine einzige Erweiterung Informationen preisgeben kann (durch eine geschickte Parametermanipulation) welche nicht fr die Augen eines Angreifers bestimmt sind!

[b]weiterfhrende Links:[/b][list]
[*] [url=http://de.wikipedia.org/wiki/Parameter_%28Informatik%29]Wikipedia: Parameter[/url][/list]
