Allgemeine Variable für $_GET

Fragen zu allen Themen rund ums Programmieren außerhalb von phpBB können hier gestellt werden - auch zu anderen Programmiersprachen oder Software wie Webservern und Editoren.
Antworten
fanrpg
Mitglied
Beiträge: 2909
Registriert: 13.12.2004 22:41

Allgemeine Variable für $_GET

Beitrag von fanrpg »

Also ich suche eine Variable zu allen $_GET Befehlen die vorkommen können also ich habs so versucht:

Code: Alles auswählen

if($_GET)
{
die("Keine $_GET Befehle erlaubt");
}
Aber irgendwie schreibt er mir immer das Keine Bla Befehle ausgeführt werden dürfen selbst wenn ich Get nicht anwende

Und ich will alle Post Befehle bis auf einen auch so ausschliessen?
Ich habs so versucht:

Code: Alles auswählen

if(!($_POST['submit']))
{
die("Keine Postbefehle dürfen ausgeführt werden");
}
Aber das schreibt er mir dann auch immer -.-

Also was mache ich falsch?
Nach oben
Benutzeravatar
md5()
Mitglied
Beiträge: 186
Registriert: 27.10.2003 20:48
Wohnort: Holzweissig
Kontaktdaten:
Kontaktdaten von md5()

Beitrag von md5() »

Du willst also alles was per

Code: Alles auswählen

$_GET und $_POST
kommt verbieten auser die die du erlaubst ?

dann mach es doch so:

Code: Alles auswählen

if ( $_GET["schlüssel"] == 'ja' )
{
	echo"erlaubt";
}
else if ( $_GET["schlüssel"] == 'nein' )
{
	echo"nicht erlaubt";
}
Aber ich glaube eine variable die das

Code: Alles auswählen

$_GET und $_POST
verbietet gibt es glaube nicht.

Kann mich auch irren.
Nach oben
fanrpg
Mitglied
Beiträge: 2909
Registriert: 13.12.2004 22:41

Beitrag von fanrpg »

nein ich will nicht jeden einzelnen Begriff verbieten erlauben und verbieten
sondern allgemein alles verbieten:

also wenn jeman

index.php?get=bla aufruft soll es verboten werden
wie auch
index.php?kjjklalöjööalsmöl=dlkalsk

Das einfach alles was angehängt mit einem die() endet egal was wann und warum! das nur die index.php aufrufbar ist und sonst nichts ohne jeden Anhängsel genauso wie bei $_POST das nur $_POST['submit'] erlaubt und sonst nichts denn auch $_POST kann man fälschen man braucht einfach die Variablennamen zu kennen und dann sich eine html Datei stricken die als action="meineindex.php" hat und per methode post hat, und wenn regsiter_globals on sind ist es sogar noch gefährlicher aber da ich nur $_POST['submit'] verwende sonst nichts (nur um das Skript zum ausführen zu bringen) der rest soll auch verboten werden da man durch die selber gestrickte html datei wieder post befehle senden kann (und natürlich über irgendwelche Browser Plug-Ins, dann braucht man nicht mal ne selbst gestrickte HTML Datei) und gerade bei register_globals ist das sehr gefährlich da da MySQL Injectionen eingeführt werden können (ohne Eingabe eines User z.B nur wenn man zählen will wie oft ein Datensatz vorhanden ist.

Ich hoffe ihr versteht was ich meine :wink:
Nach oben
fanrpg
Mitglied
Beiträge: 2909
Registriert: 13.12.2004 22:41

Beitrag von fanrpg »

darf ich? darf ich?

Ich darf :D
Es sind mehr als 24h rum...
*push*
Nach oben
RobertC
Mitglied
Beiträge: 110
Registriert: 19.07.2004 13:17

Beitrag von RobertC »

Du kannst überprüfen, ob $_SERVER['QUERY_STRING'] leer ist.
Da steht alles drinnen, was in der URL nach dem ? kommt.
Wenn etwas drinnen steht, brichst du einfach mit die() ab.

Bei $_POST kann Ich Dir leider nicht weiterhelfen.
Nach oben
Antworten

Zurück zu „Coding & Technik“