Verfasst: 16.09.2005 19:34
Code: Alles auswählen
if ($var == "Blabla")
{
...
phpBB.de
phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/
Wie gibt phpBB Variablen über die URL weiter?
Seite 2 von 3
Verfasst: 16.09.2005 20:27
Warum denn nicht ?
Kannst eben auch umwandeln ... Denn if () ist ja nicht nur Variablen entwickelt wurden
Verfasst: 16.09.2005 20:44
Klar kann man das ... wobei nur Abfragen nach folgendem Schema Sinn machen:Martin Truckenbrodt hat geschrieben:Hallo,
kann man mit Konstanten iAbfragen machen?Code: Alles auswählen
f (...)
Gruß Martin
Code: Alles auswählen
if ($zu_pruefende_variable == VERGLEICHS_KONSTANTE)
{
...
}Code: Alles auswählen
if ( VERGLEICHS_KONSTANTE == $zu_pruefende_variable)
{
...
}Gruss,
Manne.
Verfasst: 16.09.2005 21:17
Hallo,
phpBB verwendet folgende Technik:
Nun habe ich das Problem, dass ich keine Zahlenwerte, sondern strings weitergebe. Kann ich das rausnehmen ohne damit fahrlässigerweise ein Sicherheitsloch zu schaffen?
Was beduetet das ? und der : mittendrinnen in der zweiten Zeile?
Gruß Martin
phpBB verwendet folgende Technik:
Code: Alles auswählen
if ( isset($HTTP_GET_VARS[PHPMN_EDIT]) || isset($HTTP_POST_VARS[PHPMN_EDIT]) )
{$edit = ( isset($HTTP_GET_VARS[PHPMN_EDIT]) ) ? intval($HTTP_GET_VARS[PHPMN_EDIT]) : intval($HTTP_POST_VARS[PHPMN_EDIT]);}
else
{$edit = '';}
Code: Alles auswählen
intval()Was beduetet das ? und der : mittendrinnen in der zweiten Zeile?
Gruß Martin
Verfasst: 16.09.2005 21:39
Also dann macht intval() wenig Sinn... phpBB verwendet auch nichtMartin Truckenbrodt hat geschrieben:Nun habe ich das Problem, dass ich keine Zahlenwerte, sondern strings weitergebe.
generell "diese Technik", sondern fast ausschließlich für IDs
Ist nur eine andere Schreibweise für -->Martin Truckenbrodt hat geschrieben:Was beduetet das ? und der : mittendrinnen in der zweiten Zeile?
Code: Alles auswählen
if ( isset($HTTP_GET_VARS[PHPMN_EDIT]) )
{
$edit = intval($HTTP_GET_VARS[PHPMN_EDIT]);
}
else
{
intval($HTTP_POST_VARS[PHPMN_EDIT]);
}mal ein paar gestandene Mods an, bevor du richtig loslegst. easy
Verfasst: 16.09.2005 21:48
Hallo easygo,
ich schaue direkt beim phpBB ab. Das sollte doch reichen, oder?
Ne, mal Ernst: Das Skript funktioniert schon länger soweit perfekt. Nur wurde es auf www.phpbb.com als MOD nicht zugelassen, weil ich mit $_GET anstatt mit Konstanten gearbeitet habe. Dies Auszumerzen ist erstmal der fast letzte Entwicklungsschritt für mich.
Learning by Doing!
Zurück zur Frage: scheint hier die SQL Injection Bremse zu sein oder sehe ich das falsch?
Gruß Martin
ich schaue direkt beim phpBB ab. Das sollte doch reichen, oder?
Ne, mal Ernst: Das Skript funktioniert schon länger soweit perfekt. Nur wurde es auf www.phpbb.com als MOD nicht zugelassen, weil ich mit $_GET anstatt mit Konstanten gearbeitet habe. Dies Auszumerzen ist erstmal der fast letzte Entwicklungsschritt für mich.
Learning by Doing!
Zurück zur Frage:
Code: Alles auswählen
intval()Gruß Martin
Verfasst: 16.09.2005 21:57
Zu intval() siehe auch mein letztes Posting (editiert)
In phpBB wird ja nicht generell die von dir beschriebene Technik verwendet,
sondern fast ausschließlich beim Umgang mit diversen IDs.
Hier mal ein Beispiel dafür -->
In phpBB wird ja nicht generell die von dir beschriebene Technik verwendet,
sondern fast ausschließlich beim Umgang mit diversen IDs.
Hier mal ein Beispiel dafür -->
Code: Alles auswählen
if( isset($HTTP_POST_VARS['id']) || isset($HTTP_GET_VARS['id']) )
{
$id = ( isset($HTTP_POST_VARS['id']) ) ? intval($HTTP_POST_VARS['id']) : intval($HTTP_GET_VARS['id']);
}
else
{
$id = 0;
}Verfasst: 16.09.2005 22:05
Hallo,
ist das jetzt nun die SQL Injection Bremse oder nicht?
Da ich nichts anderes gefunden habe, scheint es so zu sein.
Ich habe mein Skript durchgeschaut und festgestellt, dass alle Konstaten/Variablen mit übergebenen Text nur dann für eine SQL Query in Frage kommen, wenn sie vorher auf einen bestimmten Inhalt hin überprüft wurden.
So sollte doch eine SQL Injection unmöglich sein, oder?
Gruß Martin
ist das jetzt nun die SQL Injection Bremse oder nicht?
Da ich nichts anderes gefunden habe, scheint es so zu sein.
Ich habe mein Skript durchgeschaut und festgestellt, dass alle Konstaten/Variablen mit übergebenen Text nur dann für eine SQL Query in Frage kommen, wenn sie vorher auf einen bestimmten Inhalt hin überprüft wurden.
So sollte doch eine SQL Injection unmöglich sein, oder?
Gruß Martin
Verfasst: 16.09.2005 22:39
Hallo,
So, Skript läuft erst mal wieder.
Demo: http://www.martin-truckenbrodt.com/cgi/phpBB2/phpmn.php
Gib $_GET keine Chance!
Gruß Martin
So, Skript läuft erst mal wieder.
Demo: http://www.martin-truckenbrodt.com/cgi/phpBB2/phpmn.php
Gib $_GET keine Chance!
Gruß Martin
Verfasst: 16.09.2005 22:40
Cool down... wenn du davon so überzeugt bist, dann ist doch alles im Grünen.Martin Truckenbrodt hat geschrieben:Hallo,
ist das jetzt nun die SQL Injection Bremse oder nicht?
Da ich nichts anderes gefunden habe, scheint es so zu sein.
Ich habe mein Skript durchgeschaut und festgestellt, dass alle Konstaten/Variablen mit übergebenen Text nur dann für eine SQL Query in Frage kommen, wenn sie vorher auf einen bestimmten Inhalt hin überprüft wurden.
So sollte doch eine SQL Injection unmöglich sein, oder?
Aber wenn du mich fragst: Ich kann mir darüber kein Urteil erlauben,
denn dazu müsste ich das Skript ja wohl erstmal kennen.
BBCode Code -> dann sehn wir weiter. easy