Server Variablen

[Auf der Mauer]

Hallo,

wenn ich es richtig verstanden habe, dann sind nicht alle Server Variablen sicher.
Der Document Root wird aber doch durch den Server selbst gesetzt, oder?

PHP-Code:

   // root dir for including files   
      define("ROOT_DIR", $_SERVER["DOCUMENT_ROOT"] . "/");  
      
   // website adresse for header location 
      define("URL", "http://" . $_SERVER["HTTP_HOST"] . "/"); 


Ich möchte diese gerne im gesamten Projekt für Includes und Weiterleitungen nutzen.
Wir hatten es ja schonmal vor einer Weile, dass ich bei Weiterleitungen keinen absoluten Pfad angegeben habe,
was laut Dokumentation nicht richtig ist. Funktioniert zwar in allen von mir getesteten Browsern aber wenn es auch anders geht,
dann möchte ich es schon gerne richtig machen. Die Werte könnten natürlich auch manuell gesetzt werden, aber
wenn der Provider etwas ändert, dann stimmt dass Ganze wohl nicht mehr. Deshalb würde ich es gerne automatisch
auslesen und nutzen.

PHP-Code:

   // include from (/users/name/www/)
      require_once(ROOT_DIR . "folder/file.php"); 

   // header location (http://www.xyz.de/)
      header("Location: " . URL . "folder/file.php"); 


Ich habe das so getetstet und es funktioniert auf dem Server. Jetzt muss ich
doch noch die Server Variablen absichern?

Gruß
Auf der Mauer

[Ckaos]

Hi,

warum nicht anstatt

PHP-Code:

$_SERVER["DOCUMENT_ROOT"] 


PHP-Code:

dirname(__FILE__) 


Ich persönlich würde nicht

PHP-Code:

$_SERVER["HTTP_HOST"] 


benutzen/mich darauf verlassen!

Bei Hoster/Projekt wechseel ist in der Hauptconf der Host zu setzen kein Problem.

MfG

CKaos

[meikel (†)]

Zitat:

Zitat von Ckaos

warum nicht anstatt

PHP-Code:

$_SERVER["DOCUMENT_ROOT"] 


PHP-Code:

dirname(__FILE__) 


Kommt darauf an, was man wissen will.
$_SERVER["DOCUMENT_ROOT"] liefert das documente_root aus der Apacheconfig.
dirname(__file__) oder __dir__ liefert das Verzeichnis, in dem sich das file befindet, in dem der Schnipsel steht.

Zitat:

Ich persönlich würde nicht

PHP-Code:

$_SERVER["HTTP_HOST"] 


benutzen/mich darauf verlassen!

$_SERVER['SERVER_NAME']

Zitat:

Bei Hoster/Projekt wechseel ist in der Hauptconf der Host zu setzen kein Problem.

Wenn man den Hoster wechselt, nimmt man doch die Domain idR. mit.

Zum Thema:
alle Daten, die vom User kommen, müssen validiert werden. Ganz dumm ist $_SERVER['PHP_SELF'], weil da $_SERVER['PATH_INFO'] angehängt wird.
Deshalb nimmt man $_SERVER["SCRIPT_NAME"].

Die anderen bösen Variablen heißen:
$_FILES['formular_name']['type'] = diese Angabe stammt vom Client und muß zwingend überprüft werden
$_FILES['formular_name']['name'] = auch diese Angabe stammt vom Client und muß zwingend überprüft werden. Ebenfalls wichtig ist ein rawurlencoded(), falls der Name zeichen enthält, die nicht URL konform sind.
Beachtet werden muß dabei, daß der tmp Name nur für dieses Script und diesem Request gültig ist. Danach isses entweder weg oder Linux legt den Daumen dazwischen.

[Ckaos]

Hi,

Zitat:

Kommt darauf an, was man wissen will.

Jab, aber bei seinem Bsp. scheints nur um "includes" zu gehen.

Zitat:

Wenn man den Hoster wechselt, nimmt man doch die Domain idR. mit.

Ja aber wenn man das mehrfach danach nutzen möchte fand ich das bisher am einfachsten.

Gegen $_SERVER['SERVER_NAME'] ist natüröich nix zu sagen ;)

MfG

CKaos

[Auf der Mauer]

Hallo,

vielen Dank für die Antworten!
Also Document Root scheint mir in meinem Fall richtig zu sein.

Mal ein Beispiel:

Das Hauptverzeichnis beinhaltet Verzeichnisse

*core
*pages
*style

usw.

In dem core Ordner liegt eine framework.php.
Darin mittels $_SERVER["DOCUMENT_ROOT"] angegeben der Pfad zum Hauptverzeichnis.
Ergibt sowas wie (/users/name/www/).

Die framework.php ist in allen Dateien eingebunden. Includes funktionieren jetzt mit
INC_PATH . "file.php";

Wobei in INC_PATH zum Beispiel das Wurzelvereichnis + der Includpfad enthalten ist,
der an anderer Stelle definiert wurde.

$_SERVER["SERVER_NAME"] scheint mir besser geeignet zu sein. Ich werde es einbauen.

Gruß
Auf der Mauer

[Auf der Mauer]

Hallo,

$_SERVER["SERVER_NAME"] wird wohl von $_SERVER["HTTP_HOST"] beeinflusst.
Wenn letzteres leer ist, dann ist auch ersteres leer.

Sollte in jedem Fall vor der Benutzung gesichert und bei der Ausgabe gesäubert
werden. $_SERVER["DOCUMENT_ROOT"] scheint aber sauber zu sein. Der Wert wird durch den Server gesetzt.
Wobei man nicht immer sicher sein kann, dass der Wert gesetzt ist. Bei einem ordentlichen Server sollte
dies aber wohl so sein.

Gruß
Auf der Mauer

[meikel (†)]

Zitat:

Zitat von Auf der Mauer

$_SERVER["SERVER_NAME"] wird wohl von $_SERVER["HTTP_HOST"] beeinflusst.
Wenn letzteres leer ist, dann ist auch ersteres leer.

Eigentlich nicht. $_SERVER["SERVER_NAME"] ist die PHP Version von

Code:

serverName example.com
serverAlias example.net

aus der ApacheConfig.

Zitat:

$_SERVER["DOCUMENT_ROOT"] scheint aber sauber zu sein. Der Wert wird durch den Server gesetzt.

Vom Indianer, um genau zu sein. Ich betone das deshalb, weil es auch noch andere Webserver gibt. Was die dann an PHP (serverAPI (fast)CGI) melden, weiß ich nicht.

Zitat:

Wobei man nicht immer sicher sein kann, dass der Wert gesetzt ist. Bei einem ordentlichen Server sollte dies aber wohl so sein.

Ein Server, bei dem DocumentRoot nicht gesetzt ist oder auf '/' steht, gehört nicht ins Netz sondern in die Tonne.

[Auf der Mauer]

Hallo,

ich hatte das aus dieser Seite so verstanden.
http://shiflett.org/blog/2006/mar/se...rsus-http-host

Mhh ja, keine Ahnung was andere Webserver PHP melden würden.
Dabei ist dieser Document Root ja extrem wichtig wenn die eigenen
Skripte sauber laufen sollen.

Der Anbieter könnte ja unter Umständen auch Veränderungen vornehmen,
wodurch eine statische Document Root Angabee im Code nicht mehr gelten würde.
Deshalb möchte ich es bei mir auch gerne so anpassen, dass sich mein System
den Document Root automatisch besorgt.

Gruß
Auf der Mauer

[meikel (†)]

Zitat:

Zitat von Auf der Mauer

Der Anbieter könnte ja unter Umständen auch Veränderungen vornehmen, wodurch eine statische Document Root Angabee im Code nicht mehr gelten würde.

Verwende entweder $_SERVER['DOCUMENT_ROOT'] oder dirname(__file__) bzw. __dir__.
http://de1.php.net/manual/de/languag...predefined.php