Also eigentlich kann ja jeder, der sich bsischen auskennt mit den richtigen tools
js-code in eine seite lokal "reinschmuggeln" oder?
also NUR FÜR IHN!!!!!!!!!
kann er dadurch nicht zB auch funktionen ausführen die nicht für ihn gedacht sind?

Oder ist das alles nur ein märchen?

zB funktion adminfunctins_init sucht einen divcontainer foo und fügt in diesen div links ein

adminfunctions_init wird nur ausgeführt falls der user adminrechte hat(mittels condition)

aber falls der angreifer nun selbst adminfunctions_init einfügt kriegt er ja auch das menu
oder hab ich da was falsch aufgefasst?

Regel 1: Never trust user data!

Ja, der User kann beliebigen JS Code ausführen und somit ggf. Dinge tun die er normalerweise nicht tun könnte.

Du musst daher serverseitig dafür Sorge tragen dass keine Inhalte ausgeliefert werden die der User nicht sehen darf - auch keine versteckten.

Das bedeutet, das es am sichersten aber auch umständlichsten wäre, das Menu nicht im JS zu haben, sondern in einer php Datei die überprüft ob ich das entsprechende Recht habe oder nicht und falls ich es habe das dann komplett zu parsen und zurückzuschicken.


Alright, dann setzen wir das mal um.