nicht angemeldet
Gunnar Bittersmann
suit
dedlfix
suit
dedlfix
Gunnar Bittersmann
suit
Hi
Ich rufe eine Seite auf die verschiedene Inputfelder hat:
<TR>
<TD WIDTH="130px">Gesellschaft</TD>
<TD><INPUT VALUE="" NAME="agency"> </TD>
<TD> (u = ü)</TD>
</TR>
<TR>
<TD WIDTH="130px">PLZ</TD>
<TD><INPUT VALUE="" NAME="zip2"></TD>
<TD><INPUT TYPE="submit" NAME="search" VALUE="Suchen"></TD>
</TR>
Nun möchte ich beim Aufruf bereits einen default-Wert für 'agency' festlegen und ins Feld einfüllen, wie geht das?
Danke für Tipps
EMIR
Hi,
Nun möchte ich beim Aufruf bereits einen default-Wert für 'agency' festlegen und ins Feld einfüllen, wie geht das?
http://de.selfhtml.org/html/formulare/eingabe.htm#felder_vorbelegung
Bitte lies in Zukunft selbstständig in SELFHTML nach, bevor du fragst.
MfG ChrisB
Hi,
Nun möchte ich beim Aufruf bereits einen default-Wert für 'agency' festlegen und ins Feld einfüllen, wie geht das?
http://de.selfhtml.org/html/formulare/eingabe.htm#felder_vorbelegung
Bitte lies in Zukunft selbstständig in SELFHTML nach, bevor du fragst.
MfG ChrisB
Hi
Ich weiss natürlich wie ich den VALUE-Wert im Formular setzen muss. Die Frage ist wie ich diesen 'von aussen' beim Aufruf der Site vordefinieren kann.
MfG EMIR
Hello,
Ich weiss natürlich wie ich den VALUE-Wert im Formular setzen muss. Die Frage ist wie ich diesen 'von aussen' beim Aufruf der Site vordefinieren kann.
Du entnimmst den VALUE einfach einer Variable.
Diese kann aus $_POST, $_GET, $_SESSION, $_COOKIE, usw. oder einer Datenbank oder einer Datei oder sonst einer Berechnung stammen.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
Hello,
Ich weiss natürlich wie ich den VALUE-Wert im Formular setzen muss. Die Frage ist wie ich diesen 'von aussen' beim Aufruf der Site vordefinieren kann.
Du entnimmst den VALUE einfach einer Variable.
Diese kann aus $_POST, $_GET, $_SESSION, $_COOKIE, usw. oder einer Datenbank oder einer Datei oder sonst einer Berechnung stammen.Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
Danke Tom
Nur wie überbringe ich den Inhalt von der aufrufenden Seite in $_VAR1
und wie sieht das 'Einfüllen' aus? so? VALUE=$VAR1 oder wie ist der Syntax
Gruss
Hi,
bitte zitiere nicht sinnlos das komplette Posting, auf das du antwortest.
Nur wie überbringe ich den Inhalt von der aufrufenden Seite in $_VAR1
und wie sieht das 'Einfüllen' aus? so? VALUE=$VAR1 oder wie ist der Syntax
Und bitte arbeite ein Grundlagentutorial durch, da wird dir sowas erklärt.
MfG ChrisB
Hello,
Nur wie überbringe ich den Inhalt von der aufrufenden Seite in $_VAR1
und wie sieht das 'Einfüllen' aus? so? VALUE=$VAR1 oder wie ist der Syntax
Beschäftige Dich als nächstes mit dem "Affenformular".
Bau Dir mal so ein Ding und spiele damit herum.
http://suche.de.selfhtml.org/cgi-bin/such.pl?suchausdruck=category%3APHP+Affenformular&lang=on&feld=alle&index_4=on&index_5=on&index_6=on&index_7=on&index_8=on&hits=500
oder
http://de.wikipedia.org/wiki/Affenformular
Das sollte fürs erste genügen.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
@@EMIR:
nuqneH
oder wie ist der Syntax
Qapla'
oder wie ist der Syntax
Dass erklärt, warum die Syntax oft unverständlich und wirr erscheint :)
Nun möchte ich beim Aufruf bereits einen default-Wert für 'agency' festlegen und ins Feld einfüllen, wie geht das?
1. Programm mit Parameter aufrufen: www.example.com/myprogram.php?agency=HalloWelt
2. Parameter in Inputfeld einsetzen: <INPUT VALUE="<? echo $_GET['agency']; ?>" NAME="agency">
Viel Erfolg. Kalle
Hi!
- Parameter in Inputfeld einsetzen: <INPUT VALUE="<? echo $_GET['agency']; ?>" NAME="agency">
Programmierfehler. Kontextwechsel beachten!
Lo!
Ho,
- Parameter in Inputfeld einsetzen: <INPUT VALUE="<? echo $_GET['agency']; ?>" NAME="agency">
Programmierfehler. Kontextwechsel beachten!
Du hast ja Recht. Aber nutzt einem Neuling jetzt die Grundsatzdiskussion, wo er ein Erfolgserlebnis braucht?
Ich bessere also etwas nach:
Der Martin// =================================
function quote2html ( $string ) {
// =================================
// 2009-09-17 ERSETZT EINFACHES UND DOPPELTES ANFUEHRUNGSZEICHEN DURCH HTML-SPECIAL
$string = stripslashes($string); // kann von GET, POST, COOKIE kommen
$string = htmlspecialchars($string, ENT_QUOTES); // wandelt & & " " ' ' < < > >
return $string;
}
<? echo quote2html($_GET['agency']); ?>
und erweitere die Diskussion auf den Zeichencode. Was ist, wenn chinesisch reinkommt?
Gruß, Kalle
und erweitere die Diskussion auf den Zeichencode. Was ist, wenn chinesisch reinkommt?
Sorry, das war böse. Ich meine natürlich äöüßÄÖÜ
$string = stripslashes($string);
Wozu ist das gut?
Wenn meine Agentur "Slashy '/ Man" heisst, bin ich der Geleckte oder was? ;)
und erweitere die Diskussion auf den Zeichencode. Was ist, wenn chinesisch reinkommt?
Was soll dann sein? Das ist ein Problem der Zeichenkodierung - wenn diese einheitlich ist, braucht man nichts spezielles zu beachten.
$string = stripslashes($string);
Wozu ist das gut?
Wenn meine Agentur "Slashy '/ Man" heisst, bin ich der Geleckte oder was? ;)
Au ja, lass dich lecken ...
Ohne stripslashes heisst die Agentur "Slashy \'/ Man"
Hallo,
$string = stripslashes($string);
Wozu ist das gut?
Wenn meine Agentur "Slashy '/ Man" heisst, bin ich der Geleckte oder was? ;)
Au ja, lass dich lecken ...
Ohne stripslashes heisst die Agentur "Slashy \'/ Man"
dann ist deine PHP-Konfiguration kaputt. Vermutlich wider jede Vernunft magic quotes aktiviert.
Ciao,
Martin
Hi!
- Parameter in Inputfeld einsetzen: <INPUT VALUE="<? echo $_GET['agency']; ?>" NAME="agency">
Programmierfehler. Kontextwechsel beachten!
Du hast ja Recht. Aber nutzt einem Neuling jetzt die Grundsatzdiskussion, wo er ein Erfolgserlebnis braucht?
Ja. Was nützt ihm das Erfolgserlebnis, wenn sein Kartenhaus kurz darauf zusammenfällt. Und ein htmlspecialchars() ist ja nun nicht zu viel verlangt.
$string = stripslashes($string); // kann von GET, POST, COOKIE kommen
Das kann nur dann kommen, wenn die Magic Quotes immer noch eingeschaltet sind, obwohl das ein Feature von der Abschussliste ist. Es empfihlt sich nicht, sie unbedingt zu entfernen. Wenn man mit ihnen Probleme hat, sollte man sie generell entfernen.
und erweitere die Diskussion auf den Zeichencode. Was ist, wenn chinesisch reinkommt?
Chinesisch ist kein "Zeichencode". Außerdem stellt die Zeichencodierung im Hinblick auf HTML-Injection bei den hierzulande üblichen Verarbeitungen nach ISO-8859-beliebig und UTF-8 kein Problem dar. Alle zu behandelnden Zeichen haben eineindeutige Bytewerte.
Lo!
Hallo, Leute,
als ich vor vielen Jahren mit HTML, später mit PHP und SQL begann, war dieses Forum für mich eine große Hilfe. Als freiberuflicher Softwareentwickler zuhause wart ihr meine "virtuellen Kollegen".
In den letzten Monaten musste ich leider feststellen, dass dieses Forum von Korinthenkackern übernommen wurde. Ich meine damit Leute, die so schlau sind, dass sie sich gar nicht mehr die Nöte eines Anfängers vorstellen können.
Statt jemandem unter die Arme zu greifen, wie ich es noch erleben durfte, werden Grundsatzdiskussionen losgetreten, die eigentlich keine Sau interessieren. Ausser den verbohrten Ebern, die sich hier noch tummeln.
Fragesteller werden abgeschreckt und die Nutzung von forum.de.selfhtml.org wird immer wertloser.
Man (ich) sieht es an der abnehmenden Beteiligung.
Schade eigentlich. Kalle.
Hi,
Ich meine damit Leute, die so schlau sind, dass sie sich gar nicht mehr die Nöte eines Anfängers vorstellen können.
Dass du damit kein Problem hast, weil du immer noch auf diesem Niveau arbeitest, ist ja auch nichts neues ...
Und die „Nöte“ der Anfänger sind meist entweder, dass die Leute so wenig logisches Denkvermögen haben, dass sie sich zum Programmieren schlicht und einfach absolut nicht eignen - oder dass sie nicht fähig oder willens sind, sich Wissen selber anzueignen.
Und gerade *weil* ich mich daran erinnern kann, wie ich als Anfänger vorgegangen bin - Manuals, Dokumentationen gelesen habe, bei Fragen gegooglet habe - weiß ich auch sehr gut, was man sich alles selber erschließen kann.
Und deshalb gebe ich hier keinem einen „Freifahrtschein“, nur weil er sich darauf beruft, „Anfänger“ zu sein - es ist nämlich Mode geworden, diesen Begriff wie einen Schutzschild vor sich her zu tragen.
Wer Programmieren will, muss auch lernen, mit technischen Dokumentationen umzugehen. Wer aber bereits beim ersten Verweis darauf mit der Heulerei anfängt, „ja, aber das is alles so kompliziert und ich versteh da nichts“ - der soll's m.E. lieber lassen.
MfG ChrisB
Hello,
Ich meine damit Leute, die so schlau sind, dass sie sich gar nicht mehr die Nöte eines Anfängers vorstellen können.
Dass du damit kein Problem hast, weil du immer noch auf diesem Niveau arbeitest, ist ja auch nichts neues ...
Dass Du zu feige bist, dich dieser von Vielen an Dich herangetragenen Kritik zu stellen, ist auch klar. Sonst wärst Du vielleicht mal zum Self-Treffen gekommen.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
Hi,
Dass Du zu feige bist, dich dieser von Vielen an Dich herangetragenen Kritik zu stellen, ist auch klar. Sonst wärst Du vielleicht mal zum Self-Treffen gekommen.
Und deine Mudda ist nicht hübsch, sonst würde sie ja mal 'nen Porno drehen ...
(Erkennst du die Dämlichkeit, die dieser Art von Argumentation innewohnt? Gut.)
MfG ChrisB
Hello,
Dass Du zu feige bist, dich dieser von Vielen an Dich herangetragenen Kritik zu stellen, ist auch klar. Sonst wärst Du vielleicht mal zum Self-Treffen gekommen.
Und deine Mudda ist nicht hübsch, sonst würde sie ja mal 'nen Porno drehen ...
(Erkennst du die Dämlichkeit, die dieser Art von Argumentation innewohnt? Gut.)
Nee, dazu bin ich wohl zu blöd.
Über meine Mutter haben wir auf dem Self-Treffen auch nicht gesprochen...
Also sei jetzt nicht bockig und wiedhole bitte: "Ich werde mich bessern und die Teilnehmer nicht mehr verärgern"
Dann glaube ich fest daran, dass auch Du hier noch eine Chance hast.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
Hi,
welche Gründe ich habe oder nicht habe, zu einem Offline-Treffen zu kommen, wirst du wohl mir überlassen können.
Mit „Feigheit“ hat das jedenfalls nichts zu tun.
Ich stehe für das, was ich hier schreibe, gerne hier „Rede und Antwort“.
Also sei jetzt nicht bockig und wiedhole bitte: "Ich werde mich bessern und die Teilnehmer nicht mehr verärgern"
Ich sehe überhaupt nicht ein, dass jemand wie Kalle hier meint jemandem dumm kommen zu müssen, wenn derjenige einen vollkommen korrekten ergänzenden fachlichen Hinweis liefert.
Wenn sowas Kalle „verärgert“, habe ich da trotzdem noch kein Problem mit.
MfG ChrisB
Hi!
Also sei jetzt nicht bockig und wiedhole bitte: "Ich werde mich bessern und die Teilnehmer nicht mehr verärgern"
Das wäre doch blanker Unsinn!
Es haben schon *sehr viele* Teilnehmer dabei etwas gelernt, wenn ChrisB die 'Teilnehmer verärgerte'.
Das mache ich auch so in meinen Seminaren, wenn auch nicht wortgleich oder -ähnlich.
off:PP
Hallo,
Dass Du zu feige bist, dich dieser von Vielen an Dich herangetragenen Kritik zu stellen, ist auch klar. Sonst wärst Du vielleicht mal zum Self-Treffen gekommen.
also ich hab ihn auf einem SELF-Treffen schon persönlich kennengelernt.
Ciao,
Martin
Nun möchte ich beim Aufruf bereits einen default-Wert für 'agency' festlegen und ins Feld einfüllen, wie geht das?
- Programm mit Parameter aufrufen: www.example.com/myprogram.php?agency=HalloWelt
- Parameter in Inputfeld einsetzen: <INPUT VALUE="<? echo $_GET['agency']; ?>" NAME="agency">
Viel Erfolg. Kalle
Hi Kalle
Problem gelöst, keine Probleme mit Umlauten usw.
Herzlichen Dank!!
P.s. Mich betrübt wie oberflächlich manchmal die Fragen gelesen werden und wie gehässig entsprechend die Antworten daherkommen... Schade.
Musste es loswerden, betrifft selbstverständlich nicht dich!
FG+
Hi Kalle
Problem gelöst, keine Probleme mit Umlauten usw.
Herzlichen Dank!!P.s. Mich betrübt wie oberflächlich manchmal die Fragen gelesen werden und wie gehässig entsprechend die Antworten daherkommen... Schade.
Musste es loswerden, betrifft selbstverständlich nicht dich!
Ja, ich bin auch wirklich traurig über diese Entwicklung des Forums.
Irgend ein guter Geist (der mal da war) hat uns hier verlassen.
Kalle
@@Kalle_B:
nuqneH
- Programm mit Parameter aufrufen: www.example.com/myprogram.php?agency=HalloWelt
- Parameter in Inputfeld einsetzen: <INPUT VALUE="<? echo $_GET['agency']; ?>" NAME="agency">
Es ist unvorstellbar, dass jemand, der schon „vor vielen Jahren mit HTML, später mit PHP und SQL begann“, so einen Mist in ein Forum schreibt.
Viel Erfolg.
Der ist einem Hacker bei der Sicherheitslücke todsicher. Er muss nicht zur Hintertür reinkommen; die Vordertür ist ja offen wie ein Scheunentor.
Programm mit Parameter aufrufen:
http://www.example.com/myprogram.php?agency="><script>alert("böser Code")</script>
'">' schließt das input-Tag, und schon steht '<script>alert("böser Code")</script>' im HTML-Code und das feindliche JavaScript wird ausgeführt.
So etwas DARF man einem Anfänger nicht raten!
Qapla'
Programm mit Parameter aufrufen:
http://www.example.com/myprogram.php?agency="><script>alert("böser Code")</script>'
">' schließt das input-Tag, und schon steht '<script>alert("böser Code")</script>' im HTML-Code und das feindliche JavaScript wird ausgeführt.
Das ist doch nicht valide. Ein Black-Hat macht sowas vielleicht, aber ein White-Hat baut nur gültigen Code in seine Injections ein :p
@@suit:
nuqneH
'
">' schließt das input-Tag, und schon steht '<script>alert("böser Code")</script>' im HTML-Code und das feindliche JavaScript wird ausgeführt.Das ist doch nicht valide. Ein Black-Hat macht sowas vielleicht, aber ein White-Hat baut nur gültigen Code in seine Injections ein :p
Die ganz üble Sorte nutzt HTML5. (Da isses doch valide.)
Qapla'
Die ganz üble Sorte nutzt HTML5. (Da isses doch valide.)
Wenn du eine Injection in einer HTML-4.01-Seite machst, musst du zumindest den Anstand besitzen, auch HTML-4.01-Code zu liefern.
Hi!
Wenn du eine Injection in einer HTML-4.01-Seite machst, musst du zumindest den Anstand besitzen, auch HTML-4.01-Code zu liefern.
Beinhaltet das dann auch, dass ich gleich noch die Fehler vom eigentlichen Seitenersteller ausbügle?
Lo!
@@suit:
nuqneH
Wenn du eine Injection in einer HTML-4.01-Seite machst, musst du zumindest den Anstand besitzen, auch HTML-4.01-Code zu liefern.
Klar, wenn schon einbrechen, dann mit Stil! („Ich habe einen Plan.“ „Mächtig gewaltig, Egon!“)
Dann aber bitte auch den Anstand haben, bei Injection in XHTML das 'input' mit '"/>' zu schließen.
Qapla'
Hi there,
Programm mit Parameter aufrufen:
http://www.example.com/myprogram.php?agency="><script>alert("böser Code")</script>'
">' schließt das input-Tag, und schon steht '<script>alert("böser Code")</script>' im HTML-Code und das feindliche JavaScript wird ausgeführt.
Lieber Gunnar, warum sollte man die Menschen daran hindern, im eigenen Browser bösen Code auszuführen?
@@Klawischnigg:
nuqneH
Lieber Gunnar, warum sollte man die Menschen daran hindern, im eigenen Browser bösen Code auszuführen?
http://de.wikipedia.org/wiki/Cross-Site_Scripting
Qapla'
Hi,
Programm mit Parameter aufrufen:
http://www.example.com/myprogram.php?agency="><script>alert("böser Code")</script>'
">' schließt das input-Tag, und schon steht '<script>alert("böser Code")</script>' im HTML-Code und das feindliche JavaScript wird ausgeführt.Lieber Gunnar, warum sollte man die Menschen daran hindern, im eigenen Browser bösen Code auszuführen?
Weil obige Adresse nicht nur vom neugierigen Nutzer zu Testzwecken selber eingegeben werden kann - sondern bspw. auch eine andere Seite darauf verlinken könnte.
Und dann macht der „böse Code“ vielleicht nicht nur ein alert, sondern stiehlt die Session-ID o.ä. aus einem Cookie, und sendet sie mal flugs eben woanders hin.
Muss man *dir* das wirklich erklären ...?
MfG ChrisB
Hi there,
Muss man *dir* das wirklich erklären ...?
ja, weil ich mich mit solcher Schlechtmenschenpraxis nicht wirklich auseinander gesetzt habe, aber ich sehe den Punkt...
Hi,
Muss man *dir* das wirklich erklären ...?
ja, weil ich mich mit solcher Schlechtmenschenpraxis nicht wirklich auseinander gesetzt habe, aber ich sehe den Punkt...
OK, ich hatte angenommen, das wäre dir geläufig (so wie ich dich von deinen sonstigen Postings her einschätze).
Gerade deshalb ist es wichtig, auf die Problematik hinzuweisen, gerade deshalb ist dedlfix' Hinweis wichtig - auch für einen Anfänger. Wenn man das Prinzip einmal verstanden hat, dass Daten immer dem jeweiligen Kontext entsprechend zu behandeln sind, wenn das im Denken schon während des Programmierens/Script-Schreibens „drin“ ist - dann lassen sich die meisten solcher Angriffsszenarien schon von vornherein vermeiden. Und das auch ohne dass man sich genauer Gedanken darum machen muss, wie genau der spezifische Code für einen „Angriff“ nun aussehen muss.
MfG ChrisB
Hello,
<TR>
<TD WIDTH="130px">Gesellschaft</TD>
<TD><INPUT VALUE="" NAME="agency"> </TD>
<TD> (u = ü)</TD>
</TR>
<TR>
<TD WIDTH="130px">PLZ</TD>
<TD><INPUT VALUE="" NAME="zip2"></TD>
<TD><INPUT TYPE="submit" NAME="search" VALUE="Suchen"></TD>
</TR>Nun möchte ich beim Aufruf bereits einen default-Wert für 'agency' festlegen und ins Feld einfüllen, wie geht das?
Du weißt, wie Du eine statische Vorbelegung mit HTML erreichst?
<TD><INPUT VALUE="Vorbelegung" NAME="zip2"></TD>
Nun stgell Dir einfach vor, dass Du das Wort "Vorbelegung" nicht selber reinschreibst, sondern PHP den Auftrag dazu gibst:
<TD><INPUT VALUE="<?php echo 'Vorbelegung'; ?>" NAME="zip2"></TD>
Ok, jedes Mal "Vorbelegung reinschreiben zu lassen durch PHP wäre ja dumm. Dann könnte man es auch gleich fest ins HTML-Template eintragen...
Also lassen wir PHP in Zukunft den Vorbelegungswert aus einer Variable holen
<TD><INPUT VALUE="<?php echo htmlspecialchars($_out['zip2'], ENT_QUOTES); ?>" NAME="zip2"></TD>
*huh* sieht das jetzt kompliziert aus. Wieso denn dieses "htmlspecialchars()"?
Tja, Du weißt ja nicht, was in der Variablen $_out['zip2'] drinsteht, wenn Du die Ausgabe machen lässt. Es könnte ja JavaScriptcode oder HTML-Code drinstehen oder sonst irgendein Blödsinn. Daher behandelst Du den unbekannten Variableninhalt vorher noch mit der Kontext-Funktion für HTML.
siehe auch http://wiki.selfhtml.org/wiki/Artikel:Kontextwechsel
Ist jetzt alles klar?
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg