POST Variablen überprüfen

**wahsaga** · 03.03.2006, 11:50

Re: POST Variablen überprüfen

Gar nicht.

POST-Parameter kommen nicht "von einem Script", sondern werden von einem Client als Anfrage geschickt.
Prüfe sie auf gültige Werte.

**onemorenerd** · 03.03.2006, 11:51

Gar nicht. Wozu mußt du das denn?

**jahlives** · 03.03.2006, 11:57

wich kann ich nochmal vor einem UPDATE prüfen, ob die post variablen auch wirklich vom eigenen Skript kommen und nicht von einem anderen script im Netz?

imho kannst du das nicht mit 100% Sicherheit feststellen. Du könntest den Referer auswerten (lässt sich aber fälschen), eine Session ID mitübergeben (kann aber von deinem original Form ausgelesen und in ein selbstgebasteltes eingebaut werden), du könntest Cookies verwenden (nur was machst du wenn der User keine Cookies erlaubt ?), ein hidden Field als Markierung (aber auch dies steht im html Quellcode und könnte ausgelesen werden).
Das einzig sinnvolle ist die übergebenen Werte sehr genau auf Gültigkeit zu prüfen und wenn du sie als gut erachtest, dann ist es doch eigentlich egal woher sie kommen.

Gruss

tobi

**antman** · 03.03.2006, 12:15

Jo, stimmt. Danke.

Nochwas...

Warum komme ich an den Dateinamen der aktuellen Datei ohne den Slash.

<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">

Als Erbnis bekomme ich immer:

<form method="post" action="/index.php">

Der Slash muss aber weg.

**onemorenerd** · 03.03.2006, 12:21

Wieso muß der Slash weg? Passt doch so!

Würde in diesem Fall zwar auch ohne funktionieren, aber schon nicht mehr, wenn es /ordner/index.php wäre.

**jahlives** · 03.03.2006, 12:23

Der Slash muss aber weg.

Wieso denn dat ? Der führende Slash weist den Browser an das File aus dem root zu "requesten". Wenn du den weglässt sucht er das File im gleichen Verzeichnis --> macht in diesem Falle keinen Unterschied.
Wenn du jetzt aber kein Affenform hast, sondern das Form an eine andere verarbeitende Datei schicken willst, die sich nicht im gleichen Verzeichnis befindet hast du folgende Möglichkeiten
1. du strickst dir einen relativen Pfad à la

Code:

<form action="../../datei.php" method="post"
...

2. du verwendest den führenden Slash ohne Punkte und weist damit den Browser an, dass die Datei aussgehend vom Root zu suchen ist.

Wenn du ihn aber unbedingt weghaben willst dann

PHP-Code:


$pfad = substr($_SERVER['PHP_SELF'],1);

Gruss

tobi

**antman** · 03.03.2006, 13:15

Danke!

POST Variablen überprüfen