Zitat:
Zitat von Distructive
Hi Leute,
DAbei habe ich in vielen Formularen und Links $PHP_SELF verwendet um die seite direkt neu zu laden.
|
Ich hoffe du überprüfst die Variable vor der Ausgabe? Ansonsten hast du dir da eine Cross Site Scripting Lücke geschaffen.
Zitat:
Jetzt steht zum bsp folgendes oben im browser:
http:/127.0.0.1/start.php?site=organizer
beim neuladen, wurde dann auch das ?site=organizer wieder mit dran gehängt, so dass ich diese information weiterhin hatte.
Doch auf dem webspace kürzt es mir den link folgendermaßen:
http:/127.0.0.1/start.php
|
Das ist auch durchaus richtig so, wenn in deinem Script bei href="" einfach nur PHP_SELF ausgegeben wird.
Lösung: verwende SCRIPT_NAME statt PHP_SELF, das liefert dir die absolute URL also /bla/datei.php. PHP_SELF liefert auf den ersten Blick das gleiche, macht aber noch viel mehr, daher nimm SCRIPT_NAME!!!
Und häng' ein "?site=".htmlentities($deine_gefilterte_variable) daran.