user.ini - Auslesen mit .php?id=
- .net
- Geschlossen
- Erledigt
-
-
-
Okey mit der id wäre es geklärt und mit name?
$_POST funkt net ... -
Verstehe deine Frage mit dem Namen nicht...
-
.php?name=test
Dass er dann nach test.ini sucht
-
$_GET['name']
-
-
-
Output:
ucp/skin/Skin_L.png
/editEr liest die Zeile 1 und nur eine Stelle also bei 100 kommt 1 .
-
Du musst auch in deine ini schauen wie deine Skins bzw wie sie definiert werden (SkinID = 123 zbsp.)
-
-
/edit 6
Erledigt. -
Lebensgefährlich!
Bedenke immer: Alle Eingaben die vom User kommen, > müssen < escaped werden!
Hast du nämlich eine Datenbankabfrage oder sonstige Systemkritische Funktionen,
dann kann jemand ungehindert Schadcode ausführen.Sei es XSS, Injection und und und.
Daher:
Wenn du eine Mysqlverbindung vor dem $_GET/$_POST Parameter hast,
dann nutze: mysql_real_escape_string($_GET["bla"]);
Wenn du keine hast, dann kannst du zb:
http://php.net/manual/de/function.htmlentities.php
http://www.php.net/manual/de/function.htmlspecialchars.php
http://php.net/manual/de/function.str-replace.php
oder http://php.net/manual/de/function.preg-replace.phpnutzen.
-
Kenne mich damit leider nicht aus, ich möchte es eh in eine Seite includen.
-
Das ist egal! Die Variable ist ja offen für Usereingaben!
Wenn du zb.
include("bla.php?id=224");
hast,
dann kann jemand einfach: "http://bla.de/bla.php?id=<IMG SRC="javascript:alert('XSS');">"
ausführen etc!
Es ist doch keine Arbeit Jung, das ebend schnell zu escapen.
-
Kannste mir ein Beispiel geben? Ich kann es nicht.
-
Gerne.
Hast du eine MYSQL Verbindung bei deinem Script ?
Wenn ja, dann einfach vor der $GET Variable folgendes setzen:
mysql_real_escape_string();
Beispiel:
mysql_real_escape_string($GET['id']);
Wenn du keine Mysql Verbindung hast, dann am besten mit StrReplace die eingabe "ersetzen".
Es gibt aber noch andere diverse Funktionen dafür.http://php.net/manual/de/function.str-replace.php
Hier was nützliches: http://www.rooftopsolutions.nl…h-no-connection-available
http://code.google.com/p/php-antixss/ -
-
Genau
Ich empfehle dir aber trotzdem mysql_real_escape_string.
Dafür benötigst du aber eine MYSQL Verbindung.Du könntest den Zugriff auf deine Datei auch einschränken etc.
Aber das sind nur Workarounds. -
breadfish.de
Hat das Thema geschlossen.