user.ini - Auslesen mit .php?id=
- .net
- Geschlossen
- Erledigt
In 10 Minuten startet der nächtliche Backupvorgang! Es kann währenddessen (ca. 10 Minuten) zu Einschränkungen bei der Nutzung des Forums kommen
Weitere Infos findet ihr im Thema Backup des Forums
-
-
-
Okey mit der id wäre es geklärt und mit name?
$_POST funkt net ... -
Verstehe deine Frage mit dem Namen nicht...
-
.php?name=test
Dass er dann nach test.ini sucht
-
$_GET['name']
-
-
-
Output:
ucp/skin/Skin_L.png
/editEr liest die Zeile 1 und nur eine Stelle also bei 100 kommt 1 .
-
Du musst auch in deine ini schauen wie deine Skins bzw wie sie definiert werden (SkinID = 123 zbsp.)
-
-
/edit 6
Erledigt. -
Lebensgefährlich!
Bedenke immer: Alle Eingaben die vom User kommen, > müssen < escaped werden!
Hast du nämlich eine Datenbankabfrage oder sonstige Systemkritische Funktionen,
dann kann jemand ungehindert Schadcode ausführen.Sei es XSS, Injection und und und.
Daher:
Wenn du eine Mysqlverbindung vor dem $_GET/$_POST Parameter hast,
dann nutze: mysql_real_escape_string($_GET["bla"]);
Wenn du keine hast, dann kannst du zb:
http://php.net/manual/de/function.htmlentities.php
http://www.php.net/manual/de/function.htmlspecialchars.php
http://php.net/manual/de/function.str-replace.php
oder http://php.net/manual/de/function.preg-replace.phpnutzen.
-
Kenne mich damit leider nicht aus, ich möchte es eh in eine Seite includen.
-
Das ist egal! Die Variable ist ja offen für Usereingaben!
Wenn du zb.
include("bla.php?id=224");
hast,
dann kann jemand einfach: "http://bla.de/bla.php?id=<IMG SRC="javascript:alert('XSS');">"
ausführen etc!
Es ist doch keine Arbeit Jung, das ebend schnell zu escapen.
-
Kannste mir ein Beispiel geben? Ich kann es nicht.
-
Gerne.
Hast du eine MYSQL Verbindung bei deinem Script ?
Wenn ja, dann einfach vor der $GET Variable folgendes setzen:
mysql_real_escape_string();
Beispiel:
mysql_real_escape_string($GET['id']);
Wenn du keine Mysql Verbindung hast, dann am besten mit StrReplace die eingabe "ersetzen".
Es gibt aber noch andere diverse Funktionen dafür.http://php.net/manual/de/function.str-replace.php
Hier was nützliches: http://www.rooftopsolutions.nl…h-no-connection-available
http://code.google.com/p/php-antixss/ -
-
Genau
Ich empfehle dir aber trotzdem mysql_real_escape_string.
Dafür benötigst du aber eine MYSQL Verbindung.Du könntest den Zugriff auf deine Datei auch einschränken etc.
Aber das sind nur Workarounds. -
breadfish.de
Hat das Thema geschlossen.