Funktionsaufruf ....

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Funktionsaufruf ....

    Hallo

    Bin absoluter PHP Neuling. Habe Erfahrung in ASP und will mit PHP was Neues lernen. Also los!

    PHP-Code:
    $_GET["id"
    beinhaltet die id meiner dargestellten Seite in einem kleinen CMS.

    Nun möchte ich eine eigene Funktion aufrufen, welche dem id Wert entspricht fid() also f14().
    PHP-Code:
    if(function_exists('f14')) {
    f14();

    wobei 14 dem id Wert entspricht. Soweit so gut, nur schaffe ich es nicht den Begriff 'f14' zusammen zu bauen.

    In ASP ging das so:
    Code:
    Dim fu
    fu  = "fSub" & ID
    Execute("result = "& fu)
    Könnt ihr mir helfen?

    Gruss

    Andreas
    Zuletzt geändert von Buender; 21.05.2010, 18:31. Grund: ...Und dann schaust du dir die Forenregeln an, und bearbeitest deinen Beitrag!

  • #2
    Schau dir die Funktion "call_user_func" an.

    Und dann schaust du dir die Forenregeln an, und bearbeitest deinen Beitrag!
    [FONT="Helvetica"]twitter.com/unset[/FONT]

    Shitstorm Podcast – Wöchentliches Auskotzen

    Kommentar


    • #3
      Hallo und willkommen im Forum,

      in Ergänzung zu unsets Beitrag geht auch

      PHP-Code:
      $fn $_GET["id"];
      $fn();
      // oder
      $_GET["id"](); 
      Jetzt kommt das Aber: Mach das niemals! Damit kann jemand von außen großen Schaden anrichten.

      Gruß,

      Amica
      Zuletzt geändert von AmicaNoctis; 21.05.2010, 18:52.
      [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
      Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
      Super, danke!
      [/COLOR]

      Kommentar


      • #4
        Funktionsaufruf

        Hallo unset

        Danke für die Hilfe und deine nette Begrüssung.

        PHP-Code:
        $cid $_GET["id"];
        $cid "f$cid";
        if(
        function_exists($cid)) {
                    
        call_user_func($cid$_GET["id"]);
                    } 
        So klappts, lässt sich das noch reduzieren?

        Gruss
        Andreas

        Kommentar


        • #5
          Ehmm... er hat gesagt du sollst das niemals machen.

          Es ist auch ziemlich blödsinnig Funktionen mit IDs zu benennen. Das Konzept ist so zum Scheitern verurteilt.

          Sinnvoller:
          PHP-Code:
          function meine_funktion($id) {
              
          // mach was in Abhängigkeit von $id
          }

          meine_funktion($_GET['id']); 

          Kommentar


          • #6
            Zitat von h3ll Beitrag anzeigen
            Ehmm... er hat gesagt du sollst das niemals machen.
            Nö, das hab ich gesagt
            [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
            Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
            Super, danke!
            [/COLOR]

            Kommentar


            • #7
              Zitat von Buender Beitrag anzeigen
              Hallo unset

              Danke für die Hilfe und deine nette Begrüssung.

              PHP-Code:
              $cid $_GET["id"];
              $cid "f$cid";
              if(
              function_exists($cid)) {
                          
              call_user_func($cid$_GET["id"]);
                          } 
              So klappts, ...
              Glaub ich nicht. Call_user_func() erwartet als erstes den Namen der Funktion und als zweites das erste Argument, welches du der Funktion bei ihrem Aufruf übergeben würdest.

              Angenommen, in $_GET['id'] steht 'blubb', dann rufst du
              fblubb('blubb');
              auf. Was soll das bringen?

              Und wenn du schon dem User erlaubst, Funktionen auszuführen, solltest du einen Filter dazwischenschalten, der nur bestimmte Funktionen erlaubt ("white listing"). Zum Beispiel so:

              PHP-Code:
              $allowed_funcs = array (
                  
              // given id => called function

                  
              'blubb' => 'blubbfunc',
                  
              'update' => 'updatefunc',
                  
              // ...
              );

              if ( 
                  isset(
              $allowed_funcs[$_GET['id']]) &&
                  
              function_exists($_GET['id'])
              ) {
                  
              call_user_func($_GET['id'], $arg1$arg2, ...);

              Klingon function calls do not have “parameters”‒they have “arguments”‒and they always win them!

              Kommentar


              • #8
                Funktionsaufruf ...

                So jetzt habt ihr mich richtig verwirrt:

                PHP-Code:
                call_user_func($cid$_GET["id"]); 
                ruft eine Funktion auf, welche passend zur id HTML Text zur Verfügung stellt.

                $cid ist ein Strig zusammengesetzt aus "f" und der mit POST übergebenen Variablen in der Adresse. ==> f14()

                Die Funktion baut nur die Seite auf, ich sehe die Gefahr nicht, wenn die Adresse manipuliert würde, dann kommt einfach (wenn überhaupt vorhanden) eine andere HTML Seite.

                Mach' ich da einen Denkfehler? Beim Übersetzungs-Array besteht ja auch die Gefahr, dass bei falsch Eingabe auch eine andere Seite aufgerufen wird.

                Gruss
                Andreas

                Kommentar


                • #9
                  Nochmals, du machst das falsch.

                  Blödsinn:
                  PHP-Code:
                  function f14() { }

                  f14(); 
                  Richtig:
                  PHP-Code:
                  function tu_was($id) { }

                  tu_was(14); 

                  Kommentar


                  • #10
                    Zitat von Buender Beitrag anzeigen
                    PHP-Code:
                    call_user_func($cid$_GET["id"]); 
                    ruft eine Funktion auf, welche passend zur id HTML Text zur Verfügung stellt.

                    $cid ist ein Strig zusammengesetzt aus "f" und der mit POST übergebenen Variablen in der Adresse. ==> f14()
                    GET, nicht POST.


                    Die Funktion baut nur die Seite auf,
                    Und warum soll dafür der Funktionsname variabel gehalten werden?

                    Das Aufbauen von Seiten wird im großen und ganzen immer ähnlich verlaufen - also sollte die Funktion eigentlich fest vorgegeben sein, und der variable Anteil des ganzen als Parameter an diese übergeben werden.

                    ich sehe die Gefahr nicht, wenn die Adresse manipuliert würde, dann kommt einfach (wenn überhaupt vorhanden) eine andere HTML Seite.
                    Mit deinem naiven Ansatz wäre grundsätzlich jede native PHP-Funktion aufrufbar, deren Name mit 'f' beginnt - schau in den Funktions-Index, was das alles sein könnte.
                    (Die meisten davon werden zwar vermutlich keine sinnvollen Ergebnisse liefern, wenn sie nicht noch passende Parameter übergeben bekommen - aber vielleicht ermöglicht das dann die nächste Lücke, die mit einem naiven „ich sehe keine Gefahr“-Ansatz eingebaut wird ...)

                    Scripte über Parameter variabel zu halten, ist nichts schlechtes und absolut üblich.
                    Aber was alles damit von aussen gesteuert werden kann, ist sehr genau zu überlegen. Das mehr möglich ist, als ursprünglich beabsichtigt war, dürfte einer der häufigsten Angriffsvektoren von Web-Scripten sein.

                    Deshalb auch das Prinzip des White-Listing - es wird genau definiert, was erlaubt sein soll, und dann auch entsprechend überprüft und gesichert, dass nur das möglich ist.
                    Das Gegenteil davon ist Black-Listing - was definitiv nicht erwünscht ist, wird ausgeschlossen. Dieser Ansatz ist aber gefährlicher, weil dabei leicht etwas unerwünschtes übersehen werden kann.
                    I don't believe in rebirth. Actually, I never did in my whole lives.

                    Kommentar


                    • #11
                      Man kann das mit PHP so machen, aber nicht alles was möglich ist, ist auch gut. Deine Idee ist nicht gut, weil unsicher, unnötig unverständlich* und damit schlecht wartbar.

                      *) Deine Funktionen heißen f1, f2, ..., f14 usw. Aber Funktionen sollten sprechende Namen haben!

                      Kommentar

                      Lädt...
                      X