nicht angemeldet
Übermittlung aus Foprmular direkt in $_SESSION-Variable
Hallo!
Kann man irgendwie Formulardaten direkt ind die $_SESSION-Variable übermitteln, ohne sie extra einlesen zu müssen (register_globals: off)?
Gruß
Matthias
--
ss:| zu:| ls:[ fo:| de:] va:) ch:? sh:) n4:( rl:( br:> js:| ie:% fl:) mo:}
http://www.makaio.de/quotations
ss:| zu:| ls:[ fo:| de:] va:) ch:? sh:) n4:( rl:( br:> js:| ie:% fl:) mo:}
http://www.makaio.de/quotations
-
Hello,
Kann man irgendwie Formulardaten direkt ind die $_SESSION-Variable übermitteln, ohne sie extra einlesen zu müssen (register_globals: off)?
$_SESSION['form'] = $_POST;
Ich glaube aber nicht, dass Du DAS so tatsächlich sinnvoll einsetzen kannst.
Da könnte man Dir Deine Sessiondatei ganz leicht zum Überlaufen bringen.Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hi,
Ich glaube aber nicht, dass Du DAS so tatsächlich sinnvoll einsetzen kannst.
Warum nicht?
Da könnte man Dir Deine Sessiondatei ganz leicht zum Überlaufen bringen.
Wie das? Es werden doch evtl. vorhandene Werte immer wieder überschrieben.
Grüsse
Frankie-
Hello,
Ich glaube aber nicht, dass Du DAS so tatsächlich sinnvoll einsetzen kannst.
Warum nicht?
Da könnte man Dir Deine Sessiondatei ganz leicht zum Überlaufen bringen.
Wie das? Es werden doch evtl. vorhandene Werte immer wieder überschrieben.
aber nur eventuell.
Was in die Session geschrieben wird, sollte man kontrollieren. Außerdem belastet es den Server wärend der ganzen Session, wenn man dort dem (gewollten) Script unbekannte Werte in der Session hat, die jedemal wieder mit geladen werden müssen und am Ende wieder weggeschrieben.Ich könnte Dir da leicht nach und nach einige MB Daten reinoperieren, die dort überhaupt nichts zu suchen haben. Und wenn dann die Lücke in der Sessionverarbeitung nicht mittels basedir geschlossen wurde, kann ich die darin enthaltenen Daten sogar irgendwie nutzen auf dem Server.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hi Tom,
Ich könnte Dir da leicht nach und nach einige MB Daten reinoperieren, die dort überhaupt nichts zu suchen haben.
... das ist doch nicht ein Problem welches durch die Verwendung von Sessions entsteht, sondern ein allgemeines Problem welches auftreten kann, wenn man Eingaben nicht überprüft.
Grüsse
Frankie-
Hello,
Ich könnte Dir da leicht nach und nach einige MB Daten reinoperieren, die dort überhaupt nichts zu suchen haben.
... das ist doch nicht ein Problem welches durch die Verwendung von Sessions entsteht, sondern ein allgemeines Problem welches auftreten kann, wenn man Eingaben nicht überprüft.
Ja, genaus das wolltest Du doch aber eben mittels direkter Übernahem von Daten aus dem Formular in die Sessiondaten. Jedenfalls hast Du dem Vorposter durch Deine Antwort ggf. suggeriert, dass es nichts schlimmes wäre, da ja Daten immer wiedre überschreiben würden. Was im übrigen nicht stimmen muss, wenn ich das Formular fake...
Und das meinte ich: Safety first.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hi Tom,
Ja, genaus das wolltest Du doch aber eben mittels direkter Übernahem von Daten aus dem Formular in die Sessiondaten.
_Ich_ wollte gar nix. Ich schrieb nur, dass es nicht unbedingt schlecht sein _muss_. Man kann die Session-Daten auch überprüfen, genauso wie es eben bei $_REQUEST (GET, POST) auch angebracht ist. Wenn man das unterlässt, ist es grob fahrlässig, mit oder ohne Verwendung von Sessions.
Vielleicht schreibt der OP ja auch eine Anwendung für seinen localhost und kann _seinen_ Eingaben vertrauen.
Jedenfalls hast Du dem Vorposter durch Deine Antwort ggf. suggeriert, dass es nichts schlimmes wäre, da ja Daten immer wiedre überschreiben würden.
Natürlich werden gleich benamste Felder immer wieder überschrieben. Ist das bei dir nicht so?
Was im übrigen nicht stimmen muss, wenn ich das Formular fake...
Das möchte ich gerne sehen wie Du ein eingabegeprüftes Formular fakst ,-)
Grüsse
Frankie-
Hello,
_Ich_ wollte gar nix. Ich schrieb nur [...]
Genau, DU schriebst "nur" und zwar ohen zu denken. Du hast dich in den Thread eingeklinkt, um auf mein Posting Contra zu geben, was aber ohne Berücksichtigung des Vorposters so fahrlässig ist.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hallo Tom,
_Ich_ wollte gar nix. Ich schrieb nur [...]
Genau, DU schriebst "nur" und zwar ohen zu denken. Du hast dich in den Thread eingeklinkt, um auf mein Posting Contra zu geben, was aber ohne Berücksichtigung des Vorposters so fahrlässig ist.
ich wollte dir nicht Contra geben, sondern lediglich einen Teil deiner Aussage relativieren. Ich wollte dich keineswegs "angreifen".
Was ich ausdrücken wollte ist folgendes:
Es ist nicht entscheidend, ob ein Wert direkt oder indirekt ($_SESSION['form'] = $_POST['wert']) in eine SESSION-Variable geschrieben wird, sondern vielmehr ob ein Wert geprüft oder ungeprüft übernommen wird.
Ich hoffe, dass Du dieser Aussage zustimmst.
Sonnige Grüsse aus dem Süden Deutschlands.
Frankie
-
Hello,
Es ist nicht entscheidend, ob ein Wert direkt oder indirekt ($_SESSION['form'] = $_POST['wert']) in eine SESSION-Variable geschrieben wird, sondern vielmehr ob ein Wert geprüft oder ungeprüft übernommen wird.
Ich hoffe, dass Du dieser Aussage zustimmst.
Selbstverständlich stimme ich dieser Aussage zu. Und ob Du mich angreifst, ist mir eigentlich auch ziemlich wurscht ;-) Ich hab ein dickes Fell. Ich will nur vermeiden, dass hier jemand eine Aussage als Beschwichtigung auffasst, die eigentlich sogar eine Verschärfung des Problems darestellen müsste.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
-
-
-
-
-
-
Hallo!
Ich meinte eher so im Stile von
<input type="checkbox" name="_SESSION[input][]" value="1"/>
Hilft mir zwar nicht, aber mit register_globals auf on müßte das doch klappen, oder?
Dachte (hoffte, phantasierte) halt, für "_SESSION" gäbe es da bei register_globals=off eine Ausnahme. Hätte IMHO jedenfalls was...
Einen Überlauf müßte man dann doch mit einer Beschränlung für die Eingabe verhindern können.Gruß
Matthias
--
ss:| zu:| ls:[ fo:| de:] va:) ch:? sh:) n4:( rl:( br:> js:| ie:% fl:) mo:}
http://www.makaio.de/quotations-
Hello,
Ich meinte eher so im Stile von
<input type="checkbox" name="_SESSION[input][]" value="1"/>
Das wäre gaaaaaaaaaaaaaanz schlimm, wenn das ginge. Dann hätte man nämlich die Auto-Globals nicht abschaffen müssen.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-