Man kann das mit PHP so machen, aber nicht alles was möglich ist, ist auch gut. Deine Idee ist nicht gut, weil unsicher, unnötig unverständlich* und damit schlecht wartbar.
*) Deine Funktionen heißen f1, f2, ..., f14 usw. Aber Funktionen sollten sprechende Namen haben!
-
GET, nicht POST.Originally posted by Buender View Post
Und warum soll dafür der Funktionsname variabel gehalten werden?Die Funktion baut nur die Seite auf,
Das Aufbauen von Seiten wird im großen und ganzen immer ähnlich verlaufen - also sollte die Funktion eigentlich fest vorgegeben sein, und der variable Anteil des ganzen als Parameter an diese übergeben werden.
Mit deinem naiven Ansatz wäre grundsätzlich jede native PHP-Funktion aufrufbar, deren Name mit 'f' beginnt - schau in den Funktions-Index, was das alles sein könnte.ich sehe die Gefahr nicht, wenn die Adresse manipuliert würde, dann kommt einfach (wenn überhaupt vorhanden) eine andere HTML Seite.
(Die meisten davon werden zwar vermutlich keine sinnvollen Ergebnisse liefern, wenn sie nicht noch passende Parameter übergeben bekommen - aber vielleicht ermöglicht das dann die nächste Lücke, die mit einem naiven „ich sehe keine Gefahr“-Ansatz eingebaut wird ...)
Scripte über Parameter variabel zu halten, ist nichts schlechtes und absolut üblich.
Aber was alles damit von aussen gesteuert werden kann, ist sehr genau zu überlegen. Das mehr möglich ist, als ursprünglich beabsichtigt war, dürfte einer der häufigsten Angriffsvektoren von Web-Scripten sein.
Deshalb auch das Prinzip des White-Listing - es wird genau definiert, was erlaubt sein soll, und dann auch entsprechend überprüft und gesichert, dass nur das möglich ist.
Das Gegenteil davon ist Black-Listing - was definitiv nicht erwünscht ist, wird ausgeschlossen. Dieser Ansatz ist aber gefährlicher, weil dabei leicht etwas unerwünschtes übersehen werden kann.Leave a comment:
-
Nochmals, du machst das falsch.
Blödsinn:Richtig:PHP Code:function f14() { }
f14();
PHP Code:function tu_was($id) { }
tu_was(14);
Leave a comment:
-
Funktionsaufruf ...
So jetzt habt ihr mich richtig verwirrt:
ruft eine Funktion auf, welche passend zur id HTML Text zur Verfügung stellt.PHP Code:call_user_func($cid, $_GET["id"]);
$cid ist ein Strig zusammengesetzt aus "f" und der mit POST übergebenen Variablen in der Adresse. ==> f14()
Die Funktion baut nur die Seite auf, ich sehe die Gefahr nicht, wenn die Adresse manipuliert würde, dann kommt einfach (wenn überhaupt vorhanden) eine andere HTML Seite.
Mach' ich da einen Denkfehler? Beim Übersetzungs-Array besteht ja auch die Gefahr, dass bei falsch Eingabe auch eine andere Seite aufgerufen wird.
Gruss
AndreasLeave a comment:
-
Glaub ich nicht. Call_user_func() erwartet als erstes den Namen der Funktion und als zweites das erste Argument, welches du der Funktion bei ihrem Aufruf übergeben würdest.Originally posted by Buender View Post
Angenommen, in $_GET['id'] steht 'blubb', dann rufst du
fblubb('blubb');
auf. Was soll das bringen?
Und wenn du schon dem User erlaubst, Funktionen auszuführen, solltest du einen Filter dazwischenschalten, der nur bestimmte Funktionen erlaubt ("white listing"). Zum Beispiel so:
PHP Code:$allowed_funcs = array (
// given id => called function
'blubb' => 'blubbfunc',
'update' => 'updatefunc',
// ...
);
if (
isset($allowed_funcs[$_GET['id']]) &&
function_exists($_GET['id'])
) {
call_user_func($_GET['id'], $arg1, $arg2, ...);
}
Leave a comment:
-
Ehmm... er hat gesagt du sollst das niemals machen.
Es ist auch ziemlich blödsinnig Funktionen mit IDs zu benennen. Das Konzept ist so zum Scheitern verurteilt.
Sinnvoller:PHP Code:function meine_funktion($id) {
// mach was in Abhängigkeit von $id
}
meine_funktion($_GET['id']);
Leave a comment:
-
Funktionsaufruf
Hallo unset
Danke für die Hilfe und deine nette Begrüssung.
So klappts, lässt sich das noch reduzieren?PHP Code:$cid = $_GET["id"];
$cid = "f$cid";
if(function_exists($cid)) {
call_user_func($cid, $_GET["id"]);
}
Gruss
AndreasLeave a comment:
-
Hallo und willkommen im Forum,
in Ergänzung zu unsets Beitrag geht auch
Jetzt kommt das Aber: Mach das niemals! Damit kann jemand von außen großen Schaden anrichten.PHP Code:$fn = $_GET["id"];
$fn();
// oder
$_GET["id"]();
Gruß,
AmicaLast edited by AmicaNoctis; 21-05-2010, 17:52.Leave a comment:
-
Schau dir die Funktion "call_user_func" an.
Und dann schaust du dir die Forenregeln an, und bearbeitest deinen Beitrag!Leave a comment:
-
Funktionsaufruf ....
Hallo
Bin absoluter PHP Neuling. Habe Erfahrung in ASP und will mit PHP was Neues lernen. Also los!
beinhaltet die id meiner dargestellten Seite in einem kleinen CMS.PHP Code:$_GET["id"]
Nun möchte ich eine eigene Funktion aufrufen, welche dem id Wert entspricht fid() also f14().
wobei 14 dem id Wert entspricht. Soweit so gut, nur schaffe ich es nicht den Begriff 'f14' zusammen zu bauen.PHP Code:if(function_exists('f14')) {
f14();
}
In ASP ging das so:
Könnt ihr mir helfen?Code:Dim fu fu = "fSub" & ID Execute("result = "& fu)
Gruss
AndreasLast edited by Buender; 21-05-2010, 17:31. Reason: ...Und dann schaust du dir die Forenregeln an, und bearbeitest deinen Beitrag!
Leave a comment: