Forum: PC-Programmierung PHP input auslesen aber Text drin lassen

funktionier leider nicht mit
<input type="text" name="vorname" value="<?php $_GET[vorname] ?>" />

Probier mal:

1

<input type="text" name="vorname" value="<?php echo $_GET['vorname']; ?>" />

wobei ich das normalerweise so machen würde:

1

<?php

2

$vorname = "Ihr Vorname";

3

if(isset($_REQUEST['vorname'])){

4

  $vorname = $_REQUEST['vorname'];

5

}

6

7

...

8

?>

9

<input type="text" name="vorname" value="<?=$vorname?>" />

Ah, supi - es funktioniert.
Danke Dir! Werde wohl auch eher die zweite Variante nutzen.

N8 dann jetzt mal
Tom

Tom schrieb:
> Ah, supi - es funktioniert.

nur das du damit dir schon die erste Sicherheitslücke eingehandelt.

http://de.wikipedia.org/wiki/Cross-Site-Scripting

Peter II schrieb:
> Tom schrieb:
>> Ah, supi - es funktioniert.
>
> nur das du damit dir schon die erste Sicherheitslücke eingehandelt.
>
> http://de.wikipedia.org/wiki/Cross-Site-Scripting

Erklär ihm auch, warum er die eingebaut hat :)

Hach ja aller anfang ist schwer, vor allem im Webbereich was Security 
angeht.

Ein Formular, was sich selber wieder aufruft, nennt man "Affenformular" 
- nur mal so zur Illustration.

Was sauberen Programmierstil betrifft: Ich würde die 
wiederzuverwendenden GET- oder POST-Argumente in einer Funktion im 
HTML-Header erstmal "einsammeln", einer Prüfung unterziehen und in 
globale Variablen schreiben.

Wenn man z.B. spitze Klammern, Slashes, Doppelpunkte u. Frage- u. 
Prozentzeichen per Replace entfern und den ASCI-Zeichensatz auf die 
sichtbaren Zeichen eingrenzt, ist auch das Sicherheitsproblem 
entschärft.

uff, Sachen gibts.
Aus dem Standpunkt habe ich das noch gar nicht gesehen :)
Danke für die Tips!!!

Frank schrieb:
> Wenn man z.B. spitze Klammern, Slashes, Doppelpunkte u. Frage- u.
> Prozentzeichen per Replace entfern und den ASCI-Zeichensatz auf die
> sichtbaren Zeichen eingrenzt, ist auch das Sicherheitsproblem
> entschärft.

Nein, man verwendet eine vernünftige Escape-Funktion, dann ist das auch 
kein Stress und man muss nicht dumm rumfiltern.

Hi.

Sorry, das ich mich erst jetzt wieder melde.
Irgendwie viel um die Ohren gerade...

Habe eben mal nach Escape-Sachen gesucht - bin ja noch Anfänger... ;)
Wäre die Abfrage denn okay wenn ich "mysql_real_escape_string" nutzen 
würde?
Oder gibt es was besseres/aktuelleres/sichererereres oder so? :)

Grüße Tom

"mysql_real_escape_string" würdest du nutzen, wenn der Text nachher in 
einer Datenbank gespeichert werden soll. Damit verhinderst du SQL 
Injections:
http://de.wikipedia.org/wiki/SQL-Injection

Das ersetzt Sachen wie Anführungszeichen (", ', `, ´) und andere 
Kontrollzeichen in der SQL Syntax. Besser ist es dann allerdings gleich 
prepared statements zu benutzen.


Um Cross Site Scripting zu verhindern willst du die Funktion 
"htmlentities"
http://php.net/manual/de/function.htmlentities.php
oder "htmlspecialchars"
http://www.php.net/manual/de/function.htmlspecialchars.php
verwenden. Diese Funktion ersetzen Zeichen aus der HTML Syntax, wie das 
Kaufmännische Und (&), diverse Klammern (<,>) und ebenfalls 
Anführungszeichen.

Wow, super.
Danke Dir für die Info!

Verwirrter Anfänger ist eher ein Fortgeschrittenes "Käpsele" :)

Werde mich da mal einlesen.
Für solche Dinge zu wissen sollte ich evtl. einmal von dem selbst 
beibringen absehen und mir ein Buch oder Videotutorial zu Gemüte ziehen.
Solche Fehler können ja im Web schon drastische Folgen haben...

Schönen Abend noch!