Thomas Luethi: Daten in Variablen löschen

Beitrag lesen

SELF-Forum

Daten in Variablen löschen

Thomas Luethi Homepage des Autors
Informationen zu den Bewertungsregeln

Hallo,

Eine HTML-Seite hat keine Variablen.
Hoechstens Werte in Formularfeldern oder in Links mit angehaengten Paramtern.

Hättest Du dir mein Beitrag durchgelesen, hättest Du gewusst das ich genau das meine.

Was jetzt?
GET oder POST?

Ich _habe_ Deinen Beitrag durchgelesen.
Ich verstand es so:
Du hast auf der ersten Seite ein Eintipp-Formularfeld mit dem Namen "pass".
Du schickst das Formular (mit der POST-Methode) an ein PHP-Skript (wie heisst dieses?).

Im Skript ist der Inhalt des Feldes, also das eingetippte Passwort, verfuegbar
in den Variablen $_POST["pass"] oder $_REQUEST["pass"].
Bei gewissen alten (oder "tolerant" konfigurierten) PHP-Versionen ist
die Variable auch mit $pass direkt verwendbar.

Du hast nicht geschrieben, wie Du von dort "weiterleitest" auf die Seiten
"passwortrichtig.htm" oder "passwortfalsch.htm". Ohne weitere Angaben
gehe ich davon aus, dass es sich bei diesen beiden Seiten um _statische_
HTML-Seiten handelt.
Dann gibt es keinen ersichtlichen Grund, warum in diesen Seiten
irgendwo noch eine Spur des Passwortes vorhanden sein sollte.

Gemaess dem ersten Posting verstehe ich es so, dass Du in der
"passwortfalsch.htm" wieder ein Formular mit einem Eintipp-Feld
fuer das Passwort hast.
Wohin schickst Du dieses Formular? (Was steht im ACTION-Attribut im FORM-Tag?)

Du solltest unterscheiden zwischen "boesen" Variablen, die von aussen kommen
und somit manipulierbar sind ($_GET, $_POST, $_COOKIE, $_REQUEST),
und skript-internen Variablen, die _Du_ im Verlauf des Skripts definierst.

Und wenn ich mir das hier so durchlese habe ich den Eindruck das Du mir gar nicht helfen willst (wie kann mann den so ein Mist von "boesen" Varablen schreiben, wenn mann davonausgeht das der Andere keine Ahnung hat ??)

Ich empfehle Dir dringend, mal die dclp-FAQ anzuschauen (gibt's auch als Download-Version).
http://www.dclp-faq.de/
insbesondere den Abschnitt "Sicheres Programmieren in PHP"
http://www.dclp-faq.de/ch/ch-security.html
und speziell "Wie unterscheide ich böse Variablen von guten?"
http://www.dclp-faq.de/q/q-security-variablen.html

Die "superglobalen" Variablen $_REQUEST u.s.w. sind hier beschrieben:
http://www.php.net/manual/en/reserved.variables.php
(die deutsche Uebersetzug ist noch nicht soweit)

Ok, ein Versuch wars wert,ich kann mit Deinen Äusserungen aber nichts anfangen!

_Was_ war nicht klar?

Ich _will_ Dir helfen.

Ich haette Dir auch so antworten koennen:
* "geheime" URLs sind ein untauglicher Schutz, siehe </archiv/>
* nimm stattdessen .htaccess
* RTFM.

Gruesse,

Thomas

Beitrag melden
Informationen zu den Bewertungsregeln