Kommentare zu: PHP Schnipsel I http://www.drailing.net/index.php/2009/12/php-schnipsel-i/ informatik, entwicklung, codeschnipsel und studium - von und mit dreiling Thu, 12 Aug 2010 18:56:55 +0000 http://wordpress.org/?v=2.9.1 hourly 1 Von: dreiling http://www.drailing.net/index.php/2009/12/php-schnipsel-i/comment-page-1/#comment-69 dreiling Tue, 29 Dec 2009 15:37:48 +0000 http://www.drailing.net/?p=376#comment-69 ach du typ, wie du mich hier immer als dilettant hinstellst... unglaublich! :P nagut. 1. var_dump() hatte ich bisher nicht genutzt und meine version ist ganz bestimmt um einiges hübscher in der browserausgabe. 2. unescapen is natürlich richtig, hab ich nu verbessert, danke! 3. isset kann man ja ohne probleme noch einbauen, da gibts eben ohne die site variable deine genannte meldung... und den schmutzigen kram mit directory traversal wirst du mir nu nächste woche nochmal etwas genauer erläutern müssen... :-) ach du typ, wie du mich hier immer als dilettant hinstellst… unglaublich! :P

nagut.
1. var_dump() hatte ich bisher nicht genutzt und meine version ist ganz bestimmt um einiges hübscher in der browserausgabe.

2. unescapen is natürlich richtig, hab ich nu verbessert, danke!

3. isset kann man ja ohne probleme noch einbauen, da gibts eben ohne die site variable deine genannte meldung… und den schmutzigen kram mit directory traversal wirst du mir nu nächste woche nochmal etwas genauer erläutern müssen… :-)

]]> Von: robo47 http://www.drailing.net/index.php/2009/12/php-schnipsel-i/comment-page-1/#comment-68 robo47 Tue, 29 Dec 2009 13:27:15 +0000 http://www.drailing.net/?p=376#comment-68 ausgeben von $_POST: var_dump($_POST); eventuell noch ein echo ''; davor wenn man es sich im browser anstatt im quelltext oder in der Shell anschaut. Betreff komplettes POST-array escapen .. was hat stripslashes mit escapen zu tun ? unescapen wäre wohl eher richtig :) Betreffs deiner Methode für includes via get: 1) -> mit isset arbeiten, ein if $_GET ist recht unsauber 2) error-reporting hochsetzen und fehler ausgeben lassen, ( http://www.robo47.net/codeschnipsel/2-Fehlerausgabe-in-PHP-Scripten ) Der Code testet über PHP casting-verhalten ob $_GET leer ist, aber es kann ja auch ein anderer $_GET-parameter gesetzt sein, dann bekommst du sowas: Notice: Undefined index: site in foo.php on line Y also am besten mit isset auf den passenden index überprüfen, Allgemein wäre ich mit dynamischen includes über user-input immer sehr vorsichtig, eine alte php-version oder mal wieder was verbuggtes und schon kann man file_exists / is_file austricksen und via directory traversal: ../../ auf fast alles zugreifen, dann doch lieber ein statisches switch für den parameter, wenn man es dynamischer will/braucht ein array verwenden und mit in_array() schauen ob der parameter gültig ist, wenn man das system erweitert, kann man das array ja in einer config einlassen oder so. ausgeben von $_POST:

var_dump($_POST);

eventuell noch ein echo ”; davor wenn man es sich im browser anstatt im quelltext oder in der Shell anschaut.

Betreff komplettes POST-array escapen .. was hat stripslashes mit escapen zu tun ? unescapen wäre wohl eher richtig :)

Betreffs deiner Methode für includes via get:

1) -> mit isset arbeiten, ein if $_GET ist recht unsauber
2) error-reporting hochsetzen und fehler ausgeben lassen, ( http://www.robo47.net/codeschnipsel/2-Fehlerausgabe-in-PHP-Scripten )

Der Code testet über PHP casting-verhalten ob $_GET leer ist, aber es kann ja auch ein anderer $_GET-parameter gesetzt sein, dann bekommst du sowas:

Notice: Undefined index: site in foo.php on line Y

also am besten mit isset auf den passenden index überprüfen,

Allgemein wäre ich mit dynamischen includes über user-input immer sehr vorsichtig, eine alte php-version oder mal wieder was verbuggtes und schon kann man file_exists / is_file austricksen und via directory traversal: ../../
auf fast alles zugreifen, dann doch lieber ein statisches switch für den parameter, wenn man es dynamischer will/braucht ein array verwenden und mit in_array() schauen ob der parameter gültig ist, wenn man das system erweitert, kann man das array ja in einer config einlassen oder so.

]]>