kann man mit Konstanten
Code: Alles auswählen
if (...)Gruß Martin
Wie gibt phpBB Variablen über die URL weiter?
-
Martin Truckenbrodt
- Mitglied
- Beiträge: 1143
- Registriert: 15.08.2003 23:16
- Wohnort: Südthüringen
- Kontaktdaten:
Zuletzt geändert von Martin Truckenbrodt am 16.09.2005 20:49, insgesamt 1-mal geändert.
Advanced Block MOD 1.1.4 ist released! - Verhindere Spam auf Deinem phpBB3 Board mit Stop Forum Spam, BotScout, Akismet, Project Honey Pot und verschiedenen IP-RBL und Domain-RBL DNS Blacklisten! - Meine MODs - phpBB Complete Core
-
DasFragezeichen
- Mitglied
- Beiträge: 402
- Registriert: 28.08.2005 19:51
Warum denn nicht ? 
Kannst eben auch umwandeln ... Denn if () ist ja nicht nur Variablen entwickelt wurden 
Code: Alles auswählen
if ($var == "Blabla")
{
...-
mad-manne
- Ehemaliges Teammitglied
- Beiträge: 5403
- Registriert: 18.03.2005 10:00
- Wohnort: Marl im Ruhrgebiet
Klar kann man das ... wobei nur Abfragen nach folgendem Schema Sinn machen:Martin Truckenbrodt hat geschrieben:Hallo,
kann man mit Konstanten iAbfragen machen?Code: Alles auswählen
f (...)
Gruß Martin
Code: Alles auswählen
if ($zu_pruefende_variable == VERGLEICHS_KONSTANTE)
{
...
}Code: Alles auswählen
if ( VERGLEICHS_KONSTANTE == $zu_pruefende_variable)
{
...
}Gruss,
Manne.
Try not. Do or do not. There is no try. (YODA)
Supportanfragen via E-Mail oder PN werden ignoriert
Supportanfragen via E-Mail oder PN werden ignoriert
-
Martin Truckenbrodt
- Mitglied
- Beiträge: 1143
- Registriert: 15.08.2003 23:16
- Wohnort: Südthüringen
- Kontaktdaten:
Hallo,
phpBB verwendet folgende Technik:
Nun habe ich das Problem, dass ich keine Zahlenwerte, sondern strings weitergebe. Kann ich das rausnehmen ohne damit fahrlässigerweise ein Sicherheitsloch zu schaffen?
Was beduetet das ? und der : mittendrinnen in der zweiten Zeile?
Gruß Martin
phpBB verwendet folgende Technik:
Code: Alles auswählen
if ( isset($HTTP_GET_VARS[PHPMN_EDIT]) || isset($HTTP_POST_VARS[PHPMN_EDIT]) )
{$edit = ( isset($HTTP_GET_VARS[PHPMN_EDIT]) ) ? intval($HTTP_GET_VARS[PHPMN_EDIT]) : intval($HTTP_POST_VARS[PHPMN_EDIT]);}
else
{$edit = '';}
Code: Alles auswählen
intval()Was beduetet das ? und der : mittendrinnen in der zweiten Zeile?
Gruß Martin
Advanced Block MOD 1.1.4 ist released! - Verhindere Spam auf Deinem phpBB3 Board mit Stop Forum Spam, BotScout, Akismet, Project Honey Pot und verschiedenen IP-RBL und Domain-RBL DNS Blacklisten! - Meine MODs - phpBB Complete Core
Also dann macht intval() wenig Sinn... phpBB verwendet auch nichtMartin Truckenbrodt hat geschrieben:Nun habe ich das Problem, dass ich keine Zahlenwerte, sondern strings weitergebe.
generell "diese Technik", sondern fast ausschließlich für IDs
Ist nur eine andere Schreibweise für -->Martin Truckenbrodt hat geschrieben:Was beduetet das ? und der : mittendrinnen in der zweiten Zeile?
Code: Alles auswählen
if ( isset($HTTP_GET_VARS[PHPMN_EDIT]) )
{
$edit = intval($HTTP_GET_VARS[PHPMN_EDIT]);
}
else
{
intval($HTTP_POST_VARS[PHPMN_EDIT]);
}mal ein paar gestandene Mods an, bevor du richtig loslegst. easy
Zuletzt geändert von easygo am 16.09.2005 21:49, insgesamt 1-mal geändert.
-
Martin Truckenbrodt
- Mitglied
- Beiträge: 1143
- Registriert: 15.08.2003 23:16
- Wohnort: Südthüringen
- Kontaktdaten:
Hallo easygo,
ich schaue direkt beim phpBB ab. Das sollte doch reichen, oder?
Ne, mal Ernst: Das Skript funktioniert schon länger soweit perfekt. Nur wurde es auf www.phpbb.com als MOD nicht zugelassen, weil ich mit $_GET anstatt mit Konstanten gearbeitet habe. Dies Auszumerzen ist erstmal der fast letzte Entwicklungsschritt für mich.
Learning by Doing!
Zurück zur Frage: scheint hier die SQL Injection Bremse zu sein oder sehe ich das falsch?
Gruß Martin
ich schaue direkt beim phpBB ab. Das sollte doch reichen, oder?
Ne, mal Ernst: Das Skript funktioniert schon länger soweit perfekt. Nur wurde es auf www.phpbb.com als MOD nicht zugelassen, weil ich mit $_GET anstatt mit Konstanten gearbeitet habe. Dies Auszumerzen ist erstmal der fast letzte Entwicklungsschritt für mich.
Learning by Doing!
Zurück zur Frage:
Code: Alles auswählen
intval()Gruß Martin
Advanced Block MOD 1.1.4 ist released! - Verhindere Spam auf Deinem phpBB3 Board mit Stop Forum Spam, BotScout, Akismet, Project Honey Pot und verschiedenen IP-RBL und Domain-RBL DNS Blacklisten! - Meine MODs - phpBB Complete Core
Zu intval() siehe auch mein letztes Posting (editiert)
In phpBB wird ja nicht generell die von dir beschriebene Technik verwendet,
sondern fast ausschließlich beim Umgang mit diversen IDs.
Hier mal ein Beispiel dafür -->
In phpBB wird ja nicht generell die von dir beschriebene Technik verwendet,
sondern fast ausschließlich beim Umgang mit diversen IDs.
Hier mal ein Beispiel dafür -->
Code: Alles auswählen
if( isset($HTTP_POST_VARS['id']) || isset($HTTP_GET_VARS['id']) )
{
$id = ( isset($HTTP_POST_VARS['id']) ) ? intval($HTTP_POST_VARS['id']) : intval($HTTP_GET_VARS['id']);
}
else
{
$id = 0;
}-
Martin Truckenbrodt
- Mitglied
- Beiträge: 1143
- Registriert: 15.08.2003 23:16
- Wohnort: Südthüringen
- Kontaktdaten:
Hallo,
ist das jetzt nun die SQL Injection Bremse oder nicht?
Da ich nichts anderes gefunden habe, scheint es so zu sein.
Ich habe mein Skript durchgeschaut und festgestellt, dass alle Konstaten/Variablen mit übergebenen Text nur dann für eine SQL Query in Frage kommen, wenn sie vorher auf einen bestimmten Inhalt hin überprüft wurden.
So sollte doch eine SQL Injection unmöglich sein, oder?
Gruß Martin
ist das jetzt nun die SQL Injection Bremse oder nicht?
Da ich nichts anderes gefunden habe, scheint es so zu sein.
Ich habe mein Skript durchgeschaut und festgestellt, dass alle Konstaten/Variablen mit übergebenen Text nur dann für eine SQL Query in Frage kommen, wenn sie vorher auf einen bestimmten Inhalt hin überprüft wurden.
So sollte doch eine SQL Injection unmöglich sein, oder?
Gruß Martin
Advanced Block MOD 1.1.4 ist released! - Verhindere Spam auf Deinem phpBB3 Board mit Stop Forum Spam, BotScout, Akismet, Project Honey Pot und verschiedenen IP-RBL und Domain-RBL DNS Blacklisten! - Meine MODs - phpBB Complete Core
-
Martin Truckenbrodt
- Mitglied
- Beiträge: 1143
- Registriert: 15.08.2003 23:16
- Wohnort: Südthüringen
- Kontaktdaten:
Hallo,
So, Skript läuft erst mal wieder.
Demo: http://www.martin-truckenbrodt.com/cgi/phpBB2/phpmn.php
Gib $_GET keine Chance!
Gruß Martin
So, Skript läuft erst mal wieder.
Demo: http://www.martin-truckenbrodt.com/cgi/phpBB2/phpmn.php
Gib $_GET keine Chance!
Gruß Martin
Advanced Block MOD 1.1.4 ist released! - Verhindere Spam auf Deinem phpBB3 Board mit Stop Forum Spam, BotScout, Akismet, Project Honey Pot und verschiedenen IP-RBL und Domain-RBL DNS Blacklisten! - Meine MODs - phpBB Complete Core
Cool down... wenn du davon so überzeugt bist, dann ist doch alles im Grünen.Martin Truckenbrodt hat geschrieben:Hallo,
ist das jetzt nun die SQL Injection Bremse oder nicht?
Da ich nichts anderes gefunden habe, scheint es so zu sein.
Ich habe mein Skript durchgeschaut und festgestellt, dass alle Konstaten/Variablen mit übergebenen Text nur dann für eine SQL Query in Frage kommen, wenn sie vorher auf einen bestimmten Inhalt hin überprüft wurden.
So sollte doch eine SQL Injection unmöglich sein, oder?
Aber wenn du mich fragst: Ich kann mir darüber kein Urteil erlauben,
denn dazu müsste ich das Skript ja wohl erstmal kennen.
BBCode Code -> dann sehn wir weiter. easy
