[Funktion] registerglobals

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • [Funktion] registerglobals

    hallo forum

    ich hab folgenden code, aber über $_REQUEST["ich"] können trotzdem in der adresszeile eingaben gemacht werden und sie werden vom skript ausgegeben.
    was hab ich falsch gemacht?

    danke

    <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

    <html>
    <head>
    <title>Untitled</title>
    </head>

    <body>

    <?php
    include($_POST["hallo"]);
    echo "<br>".$_REQUEST["ich"];

    ?>
    <form name="test" action="test.php?ich=du" method="post">
    <input type="Text" name="hallo">
    <input type="Submit">
    </form>

    </body>
    </html>
    First: Things get worse under pressure.
    Second: If anything just cannot go wrong, it will anyway
    Third: A falling object will always land where it can do the most damage.

  • #2
    hä???

    aber über $_REQUEST["ich"] können trotzdem in der adresszeile eingaben gemacht werden und sie werden vom skript ausgegeben.
    das ist doch klar, oder? Wenn du ich angibst, wird ich auch ausgegeben!

    Kommentar


    • #3
      aber ich möchte nicht, das man eingaben in der adresszeile manipulieren kann...
      First: Things get worse under pressure.
      Second: If anything just cannot go wrong, it will anyway
      Third: A falling object will always land where it can do the most damage.

      Kommentar


      • #4
        warum nimmst du dann REQUEST? und nicht POST???

        Kommentar


        • #5
          dann machst du es halt so

          Code:
          <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
          
          <html>
          <head>
          <title>Untitled</title>
          </head>
          
          <body>
          
          <?php
          include($_POST["hallo"]);
          echo "<br>".$_POST["ich"];
          
          ?>
          <form name="test" action="test.php" method="post">
          <input type="hidden" name="ich" value="du">
          <input type="Text" name="hallo">
          <input type="Submit">
          </form>
          
          </body>
          </html>
          [COLOR=#9C5245]Internet-Explorer[/COLOR] [COLOR=#334D7B]User und stolz drauf! :P[/COLOR]

          Kommentar


          • #6
            sag ich doch!

            BTW: Mit registerglobals hat das recht wenig zu tun...

            Kommentar


            • #7
              ups!
              aber ich hab gemeint das $_REQUEST für alle variablen gilt...ist das falsch?

              und wie mach ich es, wenn ich parameter von einem link will? z.B. default.php?site=test

              brauch ich da $_GET?
              First: Things get worse under pressure.
              Second: If anything just cannot go wrong, it will anyway
              Third: A falling object will always land where it can do the most damage.

              Kommentar


              • #8
                hin und wieder ein paar grundlagen

                form method=post -> POST
                URL -> GET
                Cookie COOKIE
                Session -> SESSION
                Server -> SERVER
                Env -> ENV

                was habe ich vergessen?

                REQUEST Holt dir post, get und cookie

                Kommentar


                • #9
                  aber so kann man ja die adresszeile manipulieren...
                  oder hab ich eine scheiss xampp installation?
                  ich kann drum auch per $var auf die variable zugreiffen, obwohl register_Globals off ist!???
                  First: Things get worse under pressure.
                  Second: If anything just cannot go wrong, it will anyway
                  Third: A falling object will always land where it can do the most damage.

                  Kommentar


                  • #10
                    post steht nicht in der adresszeile (da steht GET). bei post musst du die variablen in inputfelder schreiben (z.B. hidden fields).

                    Kommentar


                    • #11
                      hast du meinen text nicht gelesen. so schwer ist das ha nicht

                      Kommentar


                      • #12
                        hab mal ne ganz banale frage, geht das überhaupt, das variablen in der adresszeile NICHT manipuliert werden können.
                        das wenn ich die seite per link so aufrufe: default.php?site=test
                        die variable site immer "test" ist, auch wenn ich in der adresszeile ?site=test2 angebe?
                        so dass nur variablen von der aufrufenden seite akzeptiert werden

                        mit einem form ist mir das jetzt klar das es geht, aber bei adresszeilen weiss ich es nicht...

                        danke für die antwort
                        First: Things get worse under pressure.
                        Second: If anything just cannot go wrong, it will anyway
                        Third: A falling object will always land where it can do the most damage.

                        Kommentar


                        • #13
                          Grundsätzlich können alle Variablen manipuliert werden
                          Bei GET Variablen ist es nur einfacher. Aber auch POST Variablen können
                          manipuliert werden. Mann muss immer die Variablen überprüfen, also ob in
                          Ihnen auch drin steht, was drin stehen darf.

                          ..die variable site immer "test" ist, auch wenn ich in der adresszeile ?site=test2 angebe?..
                          Ganz klar NEIN (es sei denn du benutzt mod_rewrite um die Url
                          umzuschreiben, aber dann frag ich mich wieso du überhaupt ne Variable
                          empfangen willst, wenn eh nur test drin stehen darf!)


                          gruss

                          rth
                          H I L F E
                          GD FreeType Antialising
                          Gesuch PHP Entwicklungsumgebung
                          ------------------------------------------
                          Der Cmabrigde rael tset, sruf whoin du wlilst

                          Kommentar


                          • #14
                            hi

                            wenn du meinst ob es geht, dass variablen die ueber get
                            uebergeben werden nicht manipuliert werden koennen :

                            NEIN ...

                            wenn du ne var mit dem wert test uebergibst, aber
                            die var auch den wert test2 haben koennte,
                            koennte natuerlich jeder user, statt test ein test2 in den
                            link eingeben und entsprechend die andere seite/anderen daten
                            sehen....


                            gruss
                            iglo

                            Kommentar


                            • #15
                              ok, meine frage wurde hiermit durch kapitaeniglo beantwortet

                              ich danke für eure hilfe

                              viper
                              First: Things get worse under pressure.
                              Second: If anything just cannot go wrong, it will anyway
                              Third: A falling object will always land where it can do the most damage.

                              Kommentar

                              Lädt...
                              X