Hallo

1. Absatz:

• Warum benutzt Du htmlspecialchars()? Du gibst doch nichts in den HTML-Kontext aus, sondern erhältst etwas über diesen Weg

2. Absatz:

Ja, ich wusste es ist falsch, da ich aber auch nicht wusste, was richtig ist, habe ich es einfach hingeschrieben, in der Hoffnung, dass mich jemand korrigiert :)

3. Absatz:

• Warum unterlässt Du es, mysql_real_escape_string() zu verwenden oder bei einem anderen DBMS eben die entsprechende Funktion?

bitte den vorhergehenden Absatz nochmal lesen

Meinst du an dieser stelle?

WHERE meine_ta.Link = '".rawurldecode($_SERVER['REQUEST_URI'])."'

  
Nein! Nein!! Nein!!! NEIN!!! :|| (da capo al fine)  
  

> Was muss denn da nun rein?  
  
Bitte begib Dich zum dritten Absatz. Lies ihn! Finde heraus, welche Funktion  
dort erwähnt wird. Lies im PHP-Handbuch nach, wozu diese Funktion gut ist. Suche im Forumsarchiv (2008 sollte schon genügen, vielleicht nimm noch 2007 mit) nach Beiträgen, die sich mit PHP oder Datenbanken beschäftigen und die von Tom erwähnte Funktion enthalten. Du wirst viel Lesenswertes finden.  
  
Tipp: Entsorge den antiquierten mysql\_\*-Kram. Verwende stattdessen [mysqli](http://www.php.net/manual/de/book.mysqli.php) oder von mir aus einen DB-Abstraktionslayer. Aber doch kein mysql\_\* mehr, deren Zeiten sind inzwischen vorbei!.  
  
  
Freundliche Grüße  
  
Vinzenz

Hello,

WHERE meine_ta.Link = '".htmlspecialchars($_SERVER['REQUEST_URI'])."'

• Warum benutzt Du htmlspecialchars()? Du gibst doch nichts in den HTML-Kontext aus,
       sondern erhältst etwas über diesen Weg

Nein, ein HTML-Kontext liegt für die Daten in den EGPCS-Arrays nicht vor. Einige stammen von einem HTTP-Kontext, werden aber von PHP bereits so behandelt, dass sie quasi kontextlos sind. Höchstend die Magic Quotes in GPC-Arrays sind gegebenenfalls zu berücksichtigen.

Darum steht dort ja auch "über diesen Weg". Was auf diesem Weg [umgekehrte Richting von "zum Browser"] noch so alles passiert, habe ich doch gar nicht beschreiben.

In einem HTML-Formular word etwas eingegeben
der Browser verpackt die Parametger HTTP-konform und übergibt sie dem OS
das das OS überträgt diese per per Request über ein Netzwerk an ein anderes OS
Das andere OS übergibt den Request an ein Programm am passenden Port
Dieser verfährt pflichtgemäß [Protokoll und eigene Spezuifikationen] mit dem Request
und gibt diesen an einen Subprozess[*] weiter

und genau in diesem befinden wir uns nun. Das PHP-Runtime hat das übergebene Environment auszuwerten, aufzubereiten und an den Prozess für das Script weiterzureichen.

Der Request stammt also aus einem HTML-Kontext und ist hier nicht dafür gedacht, in einen solchen direkt wieder einzutreten. Vielmehr tritt er in einen "normalisierten" Kontext ein, in dem Daten eigentlich als "raw data" vorliegen sollten, was aber leider durch magic quotes nicht immer so ist.

[*] Im Sinne von "Antwort wird erwaret:  auch Prallelprozess / Dienst / Server / ...

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg

Hallo Malcolm,

Gruppe |    Link     |    Titel

qw   | /home.html  |  Startseite
   qw   | /link.html  |    Links
   qw   | /sonst.html |  Sonstiges

Wie könnte ich dieses Problem noch lösen?
Welches Problem? Welches Ergebnis hättest Du denn gern?

Ich habe in einer Variable den 'Link', möchte aber in der Select Abfrage auch direkt die Gruppe zu dem Link ermitteln, um mit diesen weiter zu arbeiten.

ich verstehe immer noch nur Bahnhof.

gewünschtes Ergebnis, z.B:

Gruppe
------
  qw

weil, <es folgt Deine Begründung>

Verstehst Du, ich möchte wissen, welches Resultat Du aufgrund Deiner Beispieldaten gerne hättest - mit der Begründung dafür. *Ich* kann es mir immer noch nicht selbst zusammenreimen.

Datenbank: MySQL 5.0
Was ist das Ergebnis von
    SELECT VERSION()

Lokal: phpMyAdmin - 2.11.3 MySQL-Client-Version: 5.0.51
Webserver(1und1) steht nur MySQL: 5.0

könntest Du bitte auf Deinem Webspace (auch 1 und 1 stellt meines Wissens phpMyAdmin zur Verfügung):

SELECT VERSION()

absetzen und das Resultat hier angeben. 1 und 1 wird seinen MySQL-Server nicht derart patchen, dass er ein blödsinnig falsches Resultat zurückliefert.

Die exakte Version MySQL 5.0 gab und gibt es nicht.

Freundliche Grüße

Vinzenz

echo $begrüßung;

Was ist das Ergebnis von
    SELECT VERSION()

Lokal: phpMyAdmin - 2.11.3 MySQL-Client-Version: 5.0.51
Webserver(1und1) steht nur MySQL: 5.0

Die Version von phpMyAdmin ist für Probleme mit der Datenbank unwichtig. Die Version des MySQL-Client ist meist auch nicht von Belang. Um die Version des MySQL-Servers zu ermitteln, muss man diesen fragen, was natürlich nicht ohne eine Verbindung zu ihm geht. phpinfo() zu befragen geht nicht, das liefert nur die Client-Version. Jedoch liefert ein phpMyAdmin im Normalfall die Version des Servers auf dessen Übersichtsseite.

Ein MySQL-Server kann sich auf einer beliebigen anderen Maschine befinden, als der Client, der ihn zu connecten gedenkt. Ein Client kann auch mehrere verschieden versionierte MySQL-Server abfragen. Um einen Client aber überhaupt zu befähigen, mit einem MySQL-Server zu kommunizieren, benötigt er eine Client-API. PHP hat also einen eingebauten MySQL-Client. Es ist zwar oftmals so, dass dieser MySQL-Client und der MySQL-Server aus den selben Quellen generiert wurden, dann haben sie die gleiche Versionsnummer. Doch das ist keine zwingende Notwendigkeit. Besonders im Windows-Umfeld, wenn vom MySQL-Server oder von PHP vorkompilierte Versionen verwendet werden, ist mit Unterschieden zu rechnen.

echo "$verabschiedung $name";

hi,

um PHP Version 5 nutzen zu können, muss ich auf meinem Webserver die php.ini konfigurieren,
Das ist nicht richtig. Der Webserver muss konfiguriert werden: https://forum.selfhtml.org/?t=175183&m=1151541 Die php.ini kann wegbleiben, wenn du mit den Vorgaben des Providers zufrieden bist.

Oh, die letzte Zeile der Supportseite hab ich wohl glatt übersehen, ich hatte nur Artikel 14 gefunden und ging davon aus, dass ist alles zu diesem Thema.
Danke für den Link.

Kleiner Irrtum. Wenn du eine php.ini in das Verzeichnis des aufgerufenen Scripts legst, dann gilt allein diese. Sie gilt für alle in diesem Verzeichnis gestarteten Scripte, aber nicht für in Unterverzeichnissen gestartete Scripte.

Das hatte ich nicht getestet, ich war nur im Root zugange.

Die Voreinstellungen des Providers - mitunter auch sinnvolle - sind komplett verschwunden und nur noch die PHP-Default-Werte aktiv (wobei die der Provider auch beim Kompilieren von PHP beeinflussen kann).

Diesen Punkt hatte ich beim Telefonat mit dem Support angesprochen, der Techniker meinte, dass wichtige Einstellungen wohl nicht überschrieben werden, ob's stimmt?!

Es ist sinnvoll, dass du eine phpinfo()-Datei in einem Verzeichnis ohne eigene php.ini stehen hast. Dann siehst du die Providervorgaben.

Das hatte ich ja so gemacht, ich hab erst einmal meine info.php aus dem Root aufgerufen (ohne php.ini), die Seite gespeichert, php.ini ins Root hochgeladen und nochmal die info.php aufgerufen, die eingetretenen Änderungen habe ich ja aufgelistet.

In jeder phpinfo()-Ausgabe steht in der ersten Tabelle, welche php.ini-Datei(en) für dieses Script aktiv waren. Hab immer ein Auge auf diese Zeile(n), damit du nicht in falschen php.inis arbeitest.

Ich hab Glücklicherweise nur 4 bis 5 Verzeichnisse mit Scripten, daher sollte dass kein Problem sein.

Vergleiche am besten die Providervorgaben mit einer phpinfo()-Ausgabe aus einem Verzeichnis mit zunächst leerer php.ini. Erstelle mindestens für die abweichenden Sachen eigene Einträge.

Das klingt Logisch, so werde ich es machen.

Hier mal noch ein paar persönliche Empfehlungen meinerseits:

allow_url_fopen - nur dann anschalten, wenn du es brauchst, also mit Dateizugriffsfunktionen Webrequests machen möchtest
allow_url_include = off, Dateien von anderen Servern will man nicht inkludieren und ausführen.
display_errors = off, zumindest im Produktivbetrieb. Außenstehende benötigen die Details der Fehlermeldungen nicht. Wie man dem Administrator die Fehlermeldungen des laufenden Betriebs zukommen lässt, ist ein anderes Thema.
magic_quotes_gpc = off, schon oft genug kommentiert.
magic_quotes_runtime = off
register_globals = off, will man nicht mehr haben
register_long_arrays = off, HTTP_*_VARS sind auch veraltet
safe_mode = off, braucht man bei CGI nicht wirklich.
short_open_tag = off, ist jedoch Geschmackssache.
session.save_path = eigenes Verzeichnis unterhalb des Kunden-Verzeichnisses, jedoch unbedingt außerhalb aller DocumentRoots. Bei 1&1 kann man ja jede Domain, auch die inklusive sblafasel.online.de, auf Unterverzeichnisse des "KundenRoots" zeigen lassen. Das sollte man auch nutzen, denn dann kann man weitere Verzeichnisse anlegen, auf die keine Domain zeigt und damit aus dem Web nicht erreichbar sind.

Vielen Dank für die Ausführliche Erklärung und die Empfehlungen, besonders

allow_url_include = off, Dateien von anderen Servern will man nicht inkludieren und ausführen.

klingt interessant, dass kannte ich nicht. Ich werde mal schauen, wo ich eine gute Anleitung zu php.ini finde, um diese auch umzusetzen.

mfg

hi,

Wenn du nach dem EVA-Prinzip vorgehst, hast du deine Eingabewerte bereits aus ihrem Transportkontext befreit, soweit das nötig war, und nun die Daten in Rohform vorliegen. In dem Zustand kann man sie einfach so vergleichen.

Ok, das ist schon mal gut zu wissen.

Nichts dergleichen. Sowohl in $links_array (vermutlich von dir gefüllt) als auch im $_SERVER-Array (von PHP gefüllt - hier sind auch keine störenden Magic Quotes drin) stehen die Daten in Rohform drin. Wenn das für $links_array nicht zutrifft, machst du einen Fehler.

Ja, die $links_array fülle ich, unter anderem hilft mir der Vergleich, Daten aus der Datenbank richtig zuzuordnen, bzw. im verarbeitenden Script schon vorzugeben, was verarbeitet werden darf und was nicht.
Ist eine kleine "Sicherheitsmaßnahme", wie Sinnvoll diese ist, kann ich nicht beurteilen, funktioniert aber ganz gut.

Solange du im Kontext PHP-Script bleibst ist nichts weiter erforderlich. Erst wenn du wieder zur Ausgabe - wohin auch immer - schreitest, ist eine Behandlung für den neuen Kontext erforderlich.

Auch wenn Sicher gestellt ist, dass $aktuelle_seite nur von mir vorgegebene Inhalte hat?

Noch ein Beispiel:

$links_array = array('/index.php','/self.php','sonstiges.php');

Jetzt wird z. B. die /index.php aufgerufen, laut meinem vergleich ist jetzt $aktuelle_seite = '/index.php';, jetzt möchte ich dass Ergebnis in meiner Seite anzeigen, echo $aktuelle_seite;, muss ich hier noch ein htmlspecialchars() anwenden?

An sich kann ja in $aktuelle_seite; nichts ausser der von mir vorgegebenen Inhalte sein, warum diese noch maskieren?

mfg