Matthias Apsel: GET auf einen bestimmten Wert prüfen

Beitrag lesen

Hallo Klaus,

vielen Dank für deine Ausführliche Erklärung. Ich hatte dieses if ( empty ($_GET['vorname']) == 1 ) auf http://www.php-kurs.com/formularauswertung-mit-php.htm wohl falsch verstanden.

if ( empty ($_GET['vorname']) == 1 ) prüft keinesfalls, ob in Vorname eine 1 steht, es prüft, ob da überhaupt was drin steht. Und das unnötig kompliziert.

Außerdem werden auf der Seite wichtige Sicherheitsfragen ausgeblendet.

<?php
echo "eingetragener Vorname: ". $_GET['vorname'];
?>

erlaubt das Ausführen bösartigen JavaScript-Codes, im harmlosesten Fall ist lediglich deine Seite kaputt, etwa, wenn der Vorname ‚</body>‘ heißt.

Merke: Nutzereingaben NIEMALS ungeprüft ausgeben, ein htmlspecialchars($_GET['vorname']) ist in diesem Fall unabdingbar.

Bis demnächst
Matthias

--
Das Geheimnis des Könnens liegt im Wollen. (Giuseppe Mazzini)