Probleme mit Übergabe durch Textfeld

    Hallo erstmal zusammen...
    ich sitze schon einige Zeit an einem Problem und das www konnte mir bis jetzt nicht weiterhelfen also stelle ich hier die Frage direkt.
    Ich möchte in etwa sowas:
    <script type="text/javascript" src="http://bin-layer.de/hybrid-XXXXX.js"></script>
    mit einem normalen Textfeld übergeben.
    Php zeigt aber nichts an?!?! Weder eine Fehlermeldung noch sonstiges.
    Normale übergaben wie z.B. das berühmte Hallo Welt oder ähnliches klappen ganz normal.
    Mit der stripslashes funktion habe ich auch schon erfolglos herumexperimentiert, wie mir auf manchen Seiten geraten wurde.

    Kann mir da bitte jemand weiterhelfen?
    Danke schonmal im Vorraus :)

    An sich einfach nen Formular und dann über die global $_POST auslesen.
    Hilfreich wäre noch, wenn du deinen Versuch (Code) mal zeigen würdest.
    Setze außerdem noch

    PHP
    error_reporting(E_ALL);
ini_set("display_errors","true");


    an den Anfang deines Scripts.
    Dass könnte der Grund sein, warum du keine Fehlermeldung erhältst.

    Gruß,
    Jojo


    Jo, gut ich poste einfach mal das Nötigste:

    Natürlich ist das ganze auch ein bisschen gelayouted, aber das ist ja unwichtig für die Funktionalität.


    Hier dann create3.php:

    PHP
    $layer        =    $_REQUEST['layer'];
echo "".$layer."";

    da steht natürlich auch noch mehr in der Datei, logisch ;)


    Erstmal Dankeschön für die Bemühungen und dann noch die Frage wie ich meinen Code in diesem Forum so schön als Code hervorhebe...

    Einmal editiert, zuletzt von crAzywuLf (17. September 2008 um 09:59)

    autsch...! jojo hats erfasst ... ich habs irgendwie nicht gerafft das ganze hier...
    ...|........
    ...|........
    ...|........
    ..\|/.......
    .............

    3 Mal editiert, zuletzt von crAzywuLf (17. September 2008 um 12:31)

    Zitat von Gast


    P.S.: Eine Fehlermeldung bekomme ich auch nach einfügen deines Codes nicht

    Na dann ist doch alles klar ;)
    Versuch mal, gediegen drüber nachzudenken:
    Du übergibst ein vollständiges Script-tag, welches du dann als Text im Browser ausgeben lassen willst. Das heißt, der HTML-Quelltext, welcher durch create3.php erzeugt wird, sieht folgendermaßen aus:

    HTML
    <script type=\"text/javascript\" src=\"http://bin-layer.de/hybrid-XXXXX.js\"></script>


    Nun denke wie ein Browser und überlege, was dieser mit diesem Quelltext wohl machen wird.....genau, er versucht, dieses Javascript einzubinden, was, insofern das JS-Script nicht selbst welche enthält, natürlich keinerlei Ausgabe erzeugt ;)
    Zum testen schreib mal in die create3.php:

    PHP
    echo htmlentities($_REQUEST['layer']);


    Damit werden die Html-Zeichen maskiert und der Browser interpretiert sie als anzuzeigenden Text.

    So nebenbei: Wenn ich mir das bisschen, was du uns hier an Code gezeigt hast so ansehe, dann bekomm ich arge Angst um deinen Webspace/Server.
    Das ist eine echte Gefahr, Nutzer soetwas eintragen zu lassen.
    Doch das musst du selbst wissen!

    Ich hoffe, dein Problem ist damit gelöst und du hast das verstanden.
    Gruß,
    Jojo

    PS: Code kannst du im Forum formatiert darstellen, indem du diesen zwischen die Tags [#php#] und [#/php#] (ohne die Rautezeichen) schreibst.


    Jo, hat alles geklappt danke.
    Aber das mit dem Angst haben musste mir nochmal erklären... das was ich so an php kann hab ich mir alles selber beigebracht und oder durch spielen mit anderen codes erlernt.
    Bin also nicht gerade der Vollprofi - wenns läuft is gut, aber das wars auch schon ;)

    Ich hab halt das blöde Gefühl, dass du Nutzer eigenständig und ohne Überprüfung code und urls abschicken lässt und diese dann auch ungeprüft verwendest bzw. die angebenen Dateien einbindest.
    Wenn ich schlechte Laune hab und so eine Seite sehe, dann geb ich ne url zu nem Javascript mit ner Endlosschleife drin an und deine Seite ist lahmgelegt.
    Und wenn ich richtig Stinkewut habe, dann fällt mir sicher noch viel schlimmeres ein.
    Verstehst du, was ich meine?
    Du vertraust blind der Eingabe von Nutzern und verletzt damit jede Sicherheitsregel.
    Oder habe ich dein Vorhaben vollkommen falsch interpretiert?

    Zudem ist die Abfrage durch $_REQUEST ein weiterer kapitaler Fehler, da du so auch noch das Einbinden von Get-Variablen durch den User erlaubst und somit noch nicht mal gewährleistest, dass die zu verarbeitenden Werte von deinem Formular oder von deiner Seite stammen.
    Ich empfehle dir dringenst, dich mit den Sicherheitsgrundlagen im generellen zu beschäftigen, oder du wirst arg auf die Fresse fallen, versprochen!

    Gruß,
    Jojo


    Neeeeee, eigentlich möchte ich meinen usern die Möglichkeit bieten Seiten automatisch generieren zu lassen und ihre eigene Layer-Werbung einzubinden, damit sie auch noch unter Umständen bisschen Geld mit der Seite machen können.
    Ist mein erstes Projekt ;)
    Also nix bösartiges oder sonstwie, aber das mit dem REQUEST muss ich dann wohl echt überarbeiten... Ansonsten schick ich wenn alles fertig ist die Seite einfach an dich und du guckst da drüber ;)
    Nee kleiner Spaß... aber scheint wohl echt noch einiges zu geben was ich zu beachten habe!
    Hast du zufällig ne Seite und/oder ein tutorial über Absicherung bei php?!?!

    Dangö!

    Du hast es nicht verstanden!!!
    Das du nichts bösartiges vorhast, ist schon klar.
    Aber die Lücken in deinem Script sind wie geschrieben so eklatant, dass dir jeder 13 Jährige deine Seite cracken kann!
    Du kannst dir das in etwa wie eine Tür mit dem Schild "Betreten verboten" vorstellen, wo der Schlüssel steckt.
    In jedem hlbwegs vernünftigen Tutorial wird auch aufgrundlegende Sicherheitskonzepte eingegangen. Da du nicht mal die Grundlagen davon beherschst (nicht böse gemeint), kannst du dir jedes x-beliebige ansehen, sie sollten Neuigkeiten für dich bereithalten.
    Das Googlen überlasse ich dir ;)

    Gruß,
    Jojo


    Huch... also dass es so ernst ist hätte ich nicht gedacht^^
    Eigentlich hab ich 2 Bücher und 3-4 online tutorials gemacht nur hab ich sowas dann wohl übersehen oder es waren nicht grad die besten...
    Aber grundsätzlich javascripte durch user eintragen lassen geht ohne Sicherheitsrisiko wenn man es vernünftig macht und sich absichert oder?