Nickles › Forum › Software › Programmieren - alles kontrollieren

Programmieren - alles kontrollieren 4.935 Themen, 20.621 Beiträge

PHP Übergabe Variablen register_globals On/Off

uspc am 13.06.2009, 12:10 / 6 Antworten / Flachansicht

Hallo, als Anfänger in Sachen PHP habe ich eine Frage: Ich übergebe noch die Variablen so:

< html>< head>< title> meine Site < /title>< /head>< body>

< !-- diese Datei ist die seite1.php -->
< !-- in den Variablen $var1 $var2 usw. steht der Inhalt der Eingabefelder, -->
< !-- Übergabe klappt mit register_globals=On -->

< form action='seite2.php' method='post'>

< input type=text name1='$var1'>
< input type=text name2='$var2'>
< input type=text name3='$var3'>

< input type=submit>
< /form>
< /body></html>

Das funktioniert nur mit register_globals=On. Wie kann ich das umschreiben, wenn die register_globals=Off konfiguriert sind ? Kann mir jemand ein kleines Script zeigen, wie ich die Variablen übertragen kriege ? Sollte möglichst einfach sein...

Vielen Dank für die Hilfe schon mal vorab. Gruss uspc

      Die Formulardaten stehen anschließend in den Superglobalen _GET und _POST ... Borlander 13.06.2009, 12:49
    
      Vielen Dank Borlander, das hab ich geschnallt. Danke auch für den Link. ... uspc 14.06.2009, 21:59
    
        Synthetic_codes uspc „Vielen Dank Borlander, das hab ich geschnallt. Danke auch für den Link. Beste...“
      
        19.06.2009, 13:38 Optionen
      
          Hi, ich würde an deiner stelle auch die name Felder in deinem HTML Formular nicht entsprechend der variable in deinem PHP Programm benennen. Sprich mach das $ raus und/oder benenn die variablen komplett um. Ein angreifer kann, so wie es jetzt steht, auf variablennamen im php code schliessen, und mit diesem wissen lässt sich unter kenntnis der richtigen exploits arger tobak anstellen.

          Die variablen werden unter PHP als $_POST['nameimform'] zur verfügung gestellt. den kompletten POST Body(ungeparst und urlencoded) bekommst du über fopen("php://input","r")
        
         '); DROP TABLE users;--
      
             bei Antwort benachrichtigen
        
      Hi, danke für den Hinweis - genau das ist das gefährliche an meinem alten ... uspc 21.06.2009, 16:57
    
      Also das geht schon so ein wenig in Richtung Security by Obscurity. Die ... Borlander 21.06.2009, 18:37
    
      naja security by obscurity würde ich jetzt nur begrenzt anführen. ich ... Synthetic_codes 01.07.2009, 01:14