Man kann das mit PHP so machen, aber nicht alles was möglich ist, ist auch gut. Deine Idee ist nicht gut, weil unsicher, unnötig unverständlich* und damit schlecht wartbar.
*) Deine Funktionen heißen f1, f2, ..., f14 usw. Aber Funktionen sollten sprechende Namen haben!
-
GET, nicht POST.Zitat von Buender Beitrag anzeigen
Und warum soll dafür der Funktionsname variabel gehalten werden?Die Funktion baut nur die Seite auf,
Das Aufbauen von Seiten wird im großen und ganzen immer ähnlich verlaufen - also sollte die Funktion eigentlich fest vorgegeben sein, und der variable Anteil des ganzen als Parameter an diese übergeben werden.
Mit deinem naiven Ansatz wäre grundsätzlich jede native PHP-Funktion aufrufbar, deren Name mit 'f' beginnt - schau in den Funktions-Index, was das alles sein könnte.ich sehe die Gefahr nicht, wenn die Adresse manipuliert würde, dann kommt einfach (wenn überhaupt vorhanden) eine andere HTML Seite.
(Die meisten davon werden zwar vermutlich keine sinnvollen Ergebnisse liefern, wenn sie nicht noch passende Parameter übergeben bekommen - aber vielleicht ermöglicht das dann die nächste Lücke, die mit einem naiven „ich sehe keine Gefahr“-Ansatz eingebaut wird ...)
Scripte über Parameter variabel zu halten, ist nichts schlechtes und absolut üblich.
Aber was alles damit von aussen gesteuert werden kann, ist sehr genau zu überlegen. Das mehr möglich ist, als ursprünglich beabsichtigt war, dürfte einer der häufigsten Angriffsvektoren von Web-Scripten sein.
Deshalb auch das Prinzip des White-Listing - es wird genau definiert, was erlaubt sein soll, und dann auch entsprechend überprüft und gesichert, dass nur das möglich ist.
Das Gegenteil davon ist Black-Listing - was definitiv nicht erwünscht ist, wird ausgeschlossen. Dieser Ansatz ist aber gefährlicher, weil dabei leicht etwas unerwünschtes übersehen werden kann.Einen Kommentar schreiben:
-
Nochmals, du machst das falsch.
Blödsinn:Richtig:PHP-Code:function f14() { }
f14();
PHP-Code:function tu_was($id) { }
tu_was(14);
Einen Kommentar schreiben:
-
Funktionsaufruf ...
So jetzt habt ihr mich richtig verwirrt:
ruft eine Funktion auf, welche passend zur id HTML Text zur Verfügung stellt.PHP-Code:call_user_func($cid, $_GET["id"]);
$cid ist ein Strig zusammengesetzt aus "f" und der mit POST übergebenen Variablen in der Adresse. ==> f14()
Die Funktion baut nur die Seite auf, ich sehe die Gefahr nicht, wenn die Adresse manipuliert würde, dann kommt einfach (wenn überhaupt vorhanden) eine andere HTML Seite.
Mach' ich da einen Denkfehler? Beim Übersetzungs-Array besteht ja auch die Gefahr, dass bei falsch Eingabe auch eine andere Seite aufgerufen wird.
Gruss
AndreasEinen Kommentar schreiben:
-
Glaub ich nicht. Call_user_func() erwartet als erstes den Namen der Funktion und als zweites das erste Argument, welches du der Funktion bei ihrem Aufruf übergeben würdest.Zitat von Buender Beitrag anzeigen
Angenommen, in $_GET['id'] steht 'blubb', dann rufst du
fblubb('blubb');
auf. Was soll das bringen?
Und wenn du schon dem User erlaubst, Funktionen auszuführen, solltest du einen Filter dazwischenschalten, der nur bestimmte Funktionen erlaubt ("white listing"). Zum Beispiel so:
PHP-Code:$allowed_funcs = array (
// given id => called function
'blubb' => 'blubbfunc',
'update' => 'updatefunc',
// ...
);
if (
isset($allowed_funcs[$_GET['id']]) &&
function_exists($_GET['id'])
) {
call_user_func($_GET['id'], $arg1, $arg2, ...);
}
Einen Kommentar schreiben:
-
Nö, das hab ich gesagtZitat von h3ll Beitrag anzeigen
Einen Kommentar schreiben:
-
Ehmm... er hat gesagt du sollst das niemals machen.
Es ist auch ziemlich blödsinnig Funktionen mit IDs zu benennen. Das Konzept ist so zum Scheitern verurteilt.
Sinnvoller:PHP-Code:function meine_funktion($id) {
// mach was in Abhängigkeit von $id
}
meine_funktion($_GET['id']);
Einen Kommentar schreiben:
-
Funktionsaufruf
Hallo unset
Danke für die Hilfe und deine nette Begrüssung.
So klappts, lässt sich das noch reduzieren?PHP-Code:$cid = $_GET["id"];
$cid = "f$cid";
if(function_exists($cid)) {
call_user_func($cid, $_GET["id"]);
}
Gruss
AndreasEinen Kommentar schreiben:
-
Hallo und willkommen im Forum,
in Ergänzung zu unsets Beitrag geht auch
Jetzt kommt das Aber: Mach das niemals! Damit kann jemand von außen großen Schaden anrichten.PHP-Code:$fn = $_GET["id"];
$fn();
// oder
$_GET["id"]();
Gruß,
AmicaZuletzt geändert von AmicaNoctis; 21.05.2010, 17:52.Einen Kommentar schreiben:
-
Schau dir die Funktion "call_user_func" an.
Und dann schaust du dir die Forenregeln an, und bearbeitest deinen Beitrag!Einen Kommentar schreiben:
-
Funktionsaufruf ....
Hallo
Bin absoluter PHP Neuling. Habe Erfahrung in ASP und will mit PHP was Neues lernen. Also los!
beinhaltet die id meiner dargestellten Seite in einem kleinen CMS.PHP-Code:$_GET["id"]
Nun möchte ich eine eigene Funktion aufrufen, welche dem id Wert entspricht fid() also f14().
wobei 14 dem id Wert entspricht. Soweit so gut, nur schaffe ich es nicht den Begriff 'f14' zusammen zu bauen.PHP-Code:if(function_exists('f14')) {
f14();
}
In ASP ging das so:
Könnt ihr mir helfen?Code:Dim fu fu = "fSub" & ID Execute("result = "& fu)
Gruss
AndreasZuletzt geändert von Buender; 21.05.2010, 17:31. Grund: ...Und dann schaust du dir die Forenregeln an, und bearbeitest deinen Beitrag!
Einen Kommentar schreiben: