String URL-Encodiert oder nicht?

Hi,

bei einer Suche leite ich mit "header" so weiter, dass das Suchergebnis ein Pfad wird:

PHP-Code:

if(isset($_GET['search']))
{
  header('Location: http://'.$_SERVER['HTTP_HOST'].'/suchbegriff/'.urlencode($_GET['search']).'/');
  exit();
} 


in einem "Else"-Zweig leite ich (inkl. 301 Meldung) auf einen rein kleingeschriebenen Pfad weiter:

PHP-Code:

# $suchstring wird aus dem Pfad extrahiert)
else
{
  if(strtolower($suchstring) != $suchstring)
  {
    header('Location: /suchbegriff/'.strtolower($suchstring).'/', true, 301);
  }
} 


funktioniert soweit ja auch ganz gut, könnte man durchaus aber auch im ersten Schritt mit abfangen (wobei man dann auch das 301 ignorieren könnte), problematisch wird es aber, wenn jemand den Pfad direkt eingeben würde:

z.B.: "http://www.domain.info/suchbegriff/suchstring/"

Solange keine Sinderzeichen auftreten, ist das alles ganz unproblematisch, kommen aber url-relevante Zeichen (z.B. &, #, ? oder %) funktioniert es natürlich nicht (im günstigensten Fall wird ein Suchbegriff beschnitten, im anderen Fall (z.B. bei "%") erhalte ich die Apachemeldung "Fehlerhafte Anfrage".

Ein bißchen Recherche brachte zum Vorschein, das es im Grunde unmöglich ist zu testen ob ein String url-enkodiert ist, bzw. kann man wohl fehlerhafte Anfragen vermeiden, indem man einen String auf die kritischen Zeichen überprüft (und dann ggf. speziell nur diese enkodiert oder gar rauswirft).

Hat da jemand vielleicht schon eine entsprechende Funktion oder eine evt. einen regulären Ausdruck parat, der mir so Fälle abfangen könnte?

Hallo,

warum gehst du in dem else-Zweig nicht einfach davon aus, dass du es immer urlencoden musst?

Ansonsten: Wenn /^([\w.~-]|%[0-9a-f]{2})*$/i passt, ist der String bereits codiert und enthält keine problematischen Sonderzeichen mehr, wenn /([^\w.~%-]|%[0-9a-f]?[^0-9a-f])/i passt, muss unbedingt noch urlencoded werden.

Gruß,

Amica

Zitat:

Zitat von AmicaNoctis

Hallo,

warum gehst du in dem else-Zweig nicht einfach davon aus, dass du es immer urlencoden musst?

Durch die erste Weiterleitung kann es vorkommen, das die Bedingung im Else Zweig beim zweiten durchlauf erfüllt wird:

1. Absenden => $_GET['search'] => Weiterleitung Pfad/Suchbegriff (suchbegriff urlenkodiert)

Dann wird das gleiche Skript aufgerufen und auf Groß/Kleinschreibung kontrolliert. Das könnte man natürlich auch schon im ersten Schritt mit erschlagen, jedoch besteht ja auch die Möglichkeit, das jemand den Suchstring direkt eingibt... und gerade den potentiellen Fehler will ich abfangen.

Zitat:

Zitat von AmicaNoctis

Ansonsten: Wenn /^([\w.~-]|%[0-9a-f]{2})$/i passt, ist der String bereits codiert und enthält keine problematischen Sonderzeichen mehr, wenn /([^\w.~%-]|%[0-9a-f]?[^0-9a-f])/i passt, muss unbedingt noch urlencoded werden.

Gruß,

Amica

Thx, werde das testen und berichten.

Gruss,
Lenny

Zitat:

Zitat von Lennynero

Thx, werde das testen und berichten.

Achte auf das Sternchen, das hab ich nachträglich reineditiert.

So, funktioniert, allerdings nur zum Teil.

Das mit der Direkteingabe kann gar nciht funktionieren, da man da quasi direkt eine URL enthält, die jenseits der von mir gewüsnchten Gültigkeit ist. Da das aber wohl eher Ausnahmefälle sein werden, werde ich das schlcihtweg vernachlässigen.

Die ÜBerprüfung mit dem regul#ren Ausdruck (und das nochmalige urlenkodiern) funktioniert wunderbar!

Vielen Dank!
Markus