| PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Post your PHP questions here! |
 |
21-05-2010, 16:59
|
|
Buender
Registrierter Benutzer
|
|
Registriert seit: May 2010
Ort: Schweiz
Beiträge: 7
|
|
Funktionsaufruf ....
Hallo
Bin absoluter PHP Neuling. Habe Erfahrung in ASP und will mit PHP was Neues lernen. Also los!
beinhaltet die id meiner dargestellten Seite in einem kleinen CMS.
Nun möchte ich eine eigene Funktion aufrufen, welche dem id Wert entspricht fid() also f14().
PHP-Code:
if(function_exists('f14')) {
f14();
}
wobei 14 dem id Wert entspricht. Soweit so gut, nur schaffe ich es nicht den Begriff 'f14' zusammen zu bauen.
In ASP ging das so:
Code:
Dim fu
fu = "fSub" & ID
Execute("result = "& fu)
Könnt ihr mir helfen?
Gruss
Andreas
Geändert von Buender (21-05-2010 um 18:31 Uhr)
Grund: ...Und dann schaust du dir die Forenregeln an, und bearbeitest deinen Beitrag!
|
21-05-2010, 17:05
|
unset
 Moderator
|
|
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.778
|
|
Schau dir die Funktion "call_user_func" an.
Und dann schaust du dir die Forenregeln an, und bearbeitest deinen Beitrag!
|
21-05-2010, 18:46
|
AmicaNoctis
Moderatorin
|
|
Registriert seit: Jul 2009
Beiträge: 5.550
|
|
Hallo und willkommen im Forum,
in Ergänzung zu unsets Beitrag geht auch
PHP-Code:
$fn = $_GET["id"];
$fn();
// oder
$_GET["id"]();
Jetzt kommt das Aber: Mach das niemals! Damit kann jemand von außen großen Schaden anrichten.
Gruß,
Amica
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt? 
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke! 
Geändert von AmicaNoctis (21-05-2010 um 18:52 Uhr)
|
21-05-2010, 18:51
|
|
Buender
Registrierter Benutzer
|
|
Registriert seit: May 2010
Ort: Schweiz
Beiträge: 7
|
|
Funktionsaufruf
Hallo unset
Danke für die Hilfe und deine nette Begrüssung.
PHP-Code:
$cid = $_GET["id"];
$cid = "f$cid";
if(function_exists($cid)) {
call_user_func($cid, $_GET["id"]);
}
So klappts, lässt sich das noch reduzieren?
Gruss
Andreas
|
21-05-2010, 18:54
|
|
h3ll
Registrierter Benutzer
|
|
Registriert seit: Mar 2008
Beiträge: 2.328
|
|
Ehmm... er hat gesagt du sollst das niemals machen.
Es ist auch ziemlich blödsinnig Funktionen mit IDs zu benennen. Das Konzept ist so zum Scheitern verurteilt.
Sinnvoller:
PHP-Code:
function meine_funktion($id) {
// mach was in Abhängigkeit von $id
}
meine_funktion($_GET['id']);
|
21-05-2010, 18:56
|
AmicaNoctis
Moderatorin
|
|
Registriert seit: Jul 2009
Beiträge: 5.550
|
|
Zitat:
Zitat von h3ll
Ehmm... er hat gesagt du sollst das niemals machen.
|
Nö, das hab ich gesagt 
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
|
21-05-2010, 21:49
|
 |
fireweasel
Registrierter Benutzer
|
|
Registriert seit: Sep 2008
Ort: At home
Beiträge: 680
|
|
Zitat:
Zitat von Buender
Hallo unset
Danke für die Hilfe und deine nette Begrüssung.
PHP-Code:
$cid = $_GET["id"];
$cid = "f$cid";
if(function_exists($cid)) {
call_user_func($cid, $_GET["id"]);
}
So klappts, ... |
Glaub ich nicht. Call_user_func() erwartet als erstes den Namen der Funktion und als zweites das erste Argument, welches du der Funktion bei ihrem Aufruf übergeben würdest.
Angenommen, in $_GET['id'] steht 'blubb', dann rufst du
fblubb('blubb');
auf. Was soll das bringen?
Und wenn du schon dem User erlaubst, Funktionen auszuführen, solltest du einen Filter dazwischenschalten, der nur bestimmte Funktionen erlaubt ("white listing"). Zum Beispiel so:
PHP-Code:
$allowed_funcs = array (
// given id => called function
'blubb' => 'blubbfunc',
'update' => 'updatefunc',
// ...
);
if (
isset($allowed_funcs[$_GET['id']]) &&
function_exists($_GET['id'])
) {
call_user_func($_GET['id'], $arg1, $arg2, ...);
}
__________________
PHP-Code:
class Brick implements Throwable {
// ...
}
|
21-05-2010, 23:58
|
|
Buender
Registrierter Benutzer
|
|
Registriert seit: May 2010
Ort: Schweiz
Beiträge: 7
|
|
Funktionsaufruf ...
So jetzt habt ihr mich richtig verwirrt:
PHP-Code:
call_user_func($cid, $_GET["id"]);
ruft eine Funktion auf, welche passend zur id HTML Text zur Verfügung stellt.
$cid ist ein Strig zusammengesetzt aus "f" und der mit POST übergebenen Variablen in der Adresse. ==> f14()
Die Funktion baut nur die Seite auf, ich sehe die Gefahr nicht, wenn die Adresse manipuliert würde, dann kommt einfach (wenn überhaupt vorhanden) eine andere HTML Seite.
Mach' ich da einen Denkfehler? Beim Übersetzungs-Array besteht ja auch die Gefahr, dass bei falsch Eingabe auch eine andere Seite aufgerufen wird.
Gruss
Andreas
|
22-05-2010, 00:04
|
|
h3ll
Registrierter Benutzer
|
|
Registriert seit: Mar 2008
Beiträge: 2.328
|
|
Nochmals, du machst das falsch.
Blödsinn:
PHP-Code:
function f14() { }
f14();
Richtig:
PHP-Code:
function tu_was($id) { }
tu_was(14);
|
22-05-2010, 00:14
|
wahsaga
Moderator
|
|
Registriert seit: Sep 2001
Beiträge: 24.486
|
|
Zitat:
Zitat von Buender
PHP-Code:
call_user_func($cid, $_GET["id"]);
ruft eine Funktion auf, welche passend zur id HTML Text zur Verfügung stellt.
$cid ist ein Strig zusammengesetzt aus "f" und der mit POST übergebenen Variablen in der Adresse. ==> f14() |
GET, nicht POST.
Zitat:
|
Die Funktion baut nur die Seite auf,
|
Und warum soll dafür der Funktionsname variabel gehalten werden?
Das Aufbauen von Seiten wird im großen und ganzen immer ähnlich verlaufen - also sollte die Funktion eigentlich fest vorgegeben sein, und der variable Anteil des ganzen als Parameter an diese übergeben werden.
Zitat:
|
ich sehe die Gefahr nicht, wenn die Adresse manipuliert würde, dann kommt einfach (wenn überhaupt vorhanden) eine andere HTML Seite.
|
Mit deinem naiven Ansatz wäre grundsätzlich jede native PHP-Funktion aufrufbar, deren Name mit 'f' beginnt - schau in den Funktions-Index, was das alles sein könnte.
(Die meisten davon werden zwar vermutlich keine sinnvollen Ergebnisse liefern, wenn sie nicht noch passende Parameter übergeben bekommen - aber vielleicht ermöglicht das dann die nächste Lücke, die mit einem naiven „ich sehe keine Gefahr“-Ansatz eingebaut wird ...)
Scripte über Parameter variabel zu halten, ist nichts schlechtes und absolut üblich.
Aber was alles damit von aussen gesteuert werden kann, ist sehr genau zu überlegen. Das mehr möglich ist, als ursprünglich beabsichtigt war, dürfte einer der häufigsten Angriffsvektoren von Web-Scripten sein.
Deshalb auch das Prinzip des White-Listing - es wird genau definiert, was erlaubt sein soll, und dann auch entsprechend überprüft und gesichert, dass nur das möglich ist.
Das Gegenteil davon ist Black-Listing - was definitiv nicht erwünscht ist, wird ausgeschlossen. Dieser Ansatz ist aber gefährlicher, weil dabei leicht etwas unerwünschtes übersehen werden kann.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
|
22-05-2010, 00:27
|
 |
onemorenerd
Moderator
|
|
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.481
|
|
Man kann das mit PHP so machen, aber nicht alles was möglich ist, ist auch gut. Deine Idee ist nicht gut, weil unsicher, unnötig unverständlich* und damit schlecht wartbar.
*) Deine Funktionen heißen f1, f2, ..., f14 usw. Aber Funktionen sollten sprechende Namen haben!
|
|
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
|
|
|
| Themen-Optionen |
|
|
| Thema bewerten |
|
|
Forumregeln
|
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
HTML-Code ist aus.
|
|
|
|
PHP News
|
Alle PHP Scripte anzeigen 
Jetzt registrieren
Berni
