umfrage über seite

[urvater]

Zitat:

Zitat von R4Zz0R

welche methode wäre da denn angebrachter als strip_tags() oder meinst du stripslashes() wäre das richtige. ?

Am besten du schaust dir mal mysql_real_escape_string an. Besonders die danach folgenden Einträge sind recht interessant für dein Problem. Immerhin mußt/solltest du ja XSS Attaken und SQL-Injektion verhindern.

[R4Zz0R]

OK Thx für die antworten.
Mein gb ist nicht mysql basierend sondern flat-file.

@Feuervogel

Zitat:

und leider wirst du merken, dass immer noch zu viele backslashes da stehen. tja, aber woran das liegt, weißt nur du, denn nur du kennst dein script.

Wie sollten zusätzliche backslashes entstehen angezeigt werden ?

Un ja hier kommt die erleuchtung für eure kristallkugeln.

Code:

PHP-Code:

<?php
$name = addslashes($_POST['name']);
$mail = addslashes($_POST['mail']);
$message = strip_tags($_POST['message']);
require_once('include/replacer.inc.php');
//capche code
if (isset($_POST['validator']) && $_POST['validator'] == $_SESSION['rand_code']) {
function date_time() {

  $punkt=".";
  $dpunkt=":";
  $datum = date("d");
  $datum .=$punkt;
  $datum .=date("m");
  $datum .=$punkt;
  $datum .=date("Y");
  $zeit = date("G");
  $zeit .=$dpunkt;
  $zeit .=date("i");
  $zeit .=$dpunkt;
  $zeit .=date("s");
  $datetime[0]=$datum;
  $datetime[1]=$zeit;

  return $datetime;
 }
$datum_uhrzeit=date_time();
$name=htmlspecialchars ($name);
$name=htmlentities($name);
$message=nl2br($message);
//eintrag schreiben
$eintrag = "<!--Beginn-->\n";
  $eintrag.="<p class='gbtxt' align='justify'><b>Name: </b>";
  $eintrag.=$name;
  $eintrag.="<br>\n<b>Email: </b><a href = 'mailto:";
  $eintrag.=$mail;
  $eintrag.="'>";
  $eintrag.=$mail;
  $eintrag.="</a><br>\n<b>Datum: </b>";
  $eintrag.=$datum_uhrzeit[0];
  $eintrag.=" um ";
  $eintrag.=$datum_uhrzeit[1];
  $eintrag.="<br>\n<b>Kommentar: </b>";
  $eintrag.=$message;
  $eintrag.= "</p><br><br>\n";

  //Jetzt Gästebuch-Datei laden...

  $bol=file_exists("gb.php");
  if ($bol) {
    $datei = fopen("gb.php","r");
    if ($datei) {
      $dateigroesse=filesize("gb.php");
      $inhalt = fread($datei, $dateigroesse);
      fclose($datei);
     }

   // Jetzt den neuen Eintrag einfügen

   $ersetzen = str_replace ("<!--Beginn-->", $eintrag , $inhalt);


   }

  // Jetzt aktualisiertes Gästebuch schreiben:

  $bol=file_exists("gb.php");
  if ($bol) {
    $datei= fopen("gb.php","w");
    if ($datei) {
      $output = fwrite($datei,$ersetzen);
      fclose($datei);
      print("<h2>Vielen Dank f&uuml;r Ihren G&auml;stebuch-Eintrag!</h2>");
     }
     unset($_SESSION['rand_code']);
  }
}

else  (
print "<h2>Code Falsch oder kein Code Eingegeben.</h2>");

unset($_SESSION['rand_code']);

?>

Das sollte genug einblick in mein gb sein xD^^

Mfg
R4Zz0R

[urvater]

Zitat:

Mein gb ist nicht mysql basierend sondern flat-file.

Na und? get_magic_quotes_gpc hast du vermutlich daher nicht gesehen?

Allerdings macht mich deine Funktion date_time etwas stutzig. Du solltest zwingend noch einmal über die vorhandenen Datumsfunktionen dich informieren.

Generell funktioniert das natürlich nicht mehr bei den schon vorhandenen Einträgen.

EDIT: Ich verstehe allerdings nie wieso so viele immer <br><br> nach einem </p> einsetzen.

[R4Zz0R]

@ urvater
Legt die maximale Verschachtelungtiefe für Eingabevariablen (z.B. $_GET, $_POST ...) fest.
magic_quotes_gpc boolean
Warnung
Dieses Feature ist seit PHP 5.3.0 DEPRECATED (veraltet) und wird in PHP 6.0.0 ENTFERNT. Sich auf dieses Feature zu verlassen ist in keiner Weise empfehlenswert.

Doch habe ich xD

Aber da auf meinem hoster gerade ein php update gemacht wurde möchte ich versuchen so viel wie möglich gleich auf den neuen stand von php anzupassen.

Deswegen suche ich nach alternativen dazu.

/EDIT/
Warumm meine datums & zeitfunktion ?
Ich arbeite gerne so.

/EDIT/

MFG
R4Zz0R

[urvater]

Wenn ich meinen Post richtig lese habe ich get_magic_quotes_gpc geschrieben.

Allerdings verstehe ich auch nicht, warum man ein Datum und die Zeit so umständlich zusammen setzt, wenn date() alles liefert, was man brauch.

PHP-Code:

<?php
$datum = date("d.m.Y");
$zeit = date("G:i:s");
echo 'Heute ist '.$date.' und es ist '.$zeit;
?>

[R4Zz0R]

Zitat:

Zitat von urvater

Wenn ich meinen Post richtig lese habe ich get_magic_quotes_gpc geschrieben.

Allerdings verstehe ich auch nicht, warum man ein Datum und die Zeit so umständlich zusammen setzt, wenn date() alles liefert, was man brauch.

PHP-Code:

<?php
$datum = date("d.m.Y");
$zeit = date("G:i:s");
echo 'Heute ist '.$date.' und es ist '.$zeit;
?>

Ja ok das wäre natürlich kürzer und einfacher,
aber ich schreibe doch nicht alle funktionen neu, nur weil meine funktion etwas größer eventuell auch umständlicher ist.

Auserdem ist diese funktion noch ein überbleibsel aus meinen anfängen xD und ich habe immer gerne etwas "nostalgisches" im code xD^^ besonders dann wenn es sich dabei um meine ersten gehversuche in php handelt xD

o.O
get_magic_quotes_gpc ?

Davon stand nichts unter mysql_real_escape_string dabei im handbuch.
Werde es mir nachher durchlesen.

MFG
R4Zz0R

[urvater]

Zitat:

Zitat von R4Zz0R

JAuserdem ist diese funktion noch ein überbleibsel aus meinen anfängen xD und ich habe immer gerne etwas "nostalgisches" im code xD^^ besonders dann wenn es sich dabei um meine ersten gehversuche in php handelt xD

Da frag ich mich doch ernsthaft wieso du diesen Tread eröffnet hast, wenn du eh nichts ändern wirst/willst?

Die Fehler im HTML sind noch drin (im übrigen fehlt auch der eröffnende html-Tag), umständliche Funktionen willst du nicht vereinfachen und dann solche Antworten:

Zitat:

Dieses Feature ist seit PHP 5.3.0 DEPRECATED (veraltet) und wird in PHP 6.0.0 ENTFERNT. Sich auf dieses Feature zu verlassen ist in keiner Weise empfehlenswert.

Doch habe ich xD

Aber da auf meinem hoster gerade ein php update gemacht wurde möchte ich versuchen so viel wie möglich gleich auf den neuen stand von php anzupassen.

Deswegen suche ich nach alternativen dazu.

/EDIT/
Warumm meine datums & zeitfunktion ?
Ich arbeite gerne so.

/EDIT/

Ich mein wir reden hier von gerade einmal 4 Seiten für die Ausgabe. Was nach dem Login passiert ist mir ehrlich gesagt ziehmlich schnuppe. Nur es einfach nicht zu schaffen auf 4 Seiten sauberes HTML zu schreiben und schnell mal eine Funktion zu vereinfachen ist meiner Meinung nach nicht zu viel verlangt.
Sauberes HTML und möglichst einfacher Code versprechen nun einmal auch eine bessere Funktionsweise der Seite. Was ist, wenn du nun ein Javascript einbaust, welches wegen HTML-Fehler nicht läuft? Du suchst dich dumm und dusselig.

PS: Dein Javascript liegt immer noch ausserhalb deines Dokumentes. OK der öffnende HTML-Tag fehlt. Was passiert, wenn die Browser irgend wann HTML conform reagieren?

[cortex]

Zitat:

Zitat von urvater

Da frag ich mich doch ernsthaft wieso du diesen Tread eröffnet hast, wenn du eh nichts ändern wirst/willst?

meiner erfahrung nach, ist dies ein phänomen, dem man relativ häufig begegnet.

Zitat:

Zitat von R4Zz0R

[...] noch ein überbleibsel aus meinen anfängen [...] habe immer gerne etwas "nostalgisches" im code [...] erste gehversuche in php

fein...

Zitat:

Zitat von R4Zz0R

Davon stand nichts unter mysql_real_escape_string dabei im handbuch.

ich persönlich arbeite (inzwischen beinahe ausschliesslich) mit der originalen (englischen) version, da die übersetzungen - selbst bei einer "grossen" wie der deutschen - stetig hinterherhinken.

cx

[R4Zz0R]

Ich habe nicht gesagt das ich nichts ändern möchte.

Ich sagte nur das ich mich der funktion date_time im moment nicht witme da sie ja funktioniert, auserdem benutze ich bereits (auf den anderen seiten) andere date() funktionen, kam nur noch nicht dazu mein gästebuch umzustellen. Der eröffnende html tag, ( <html>) wurde wohl von meinem editor verschluckt oder von mir versehentlich gelöscht.

(doofe frage glaub ich aber befor ich dumm sterbe)

Ist es denn überhaupt relevant ob das script im oder auserhalb des documetes steht oder nicht ?
Scheint ja (eventuell noch oder durch zufall) keine auswirkungen zu haben, wenn dies nicht der fall ist.

Zitat:

Was passiert, wenn die Browser irgend wann HTML conform reagieren?

Dann hab ich noch mehr zu tun, aber bis dahin wird noch ein weilchen vergehen denke ich.

Schlussendlich, suche ich nach verbesserungen in bezug auf sicherheit das mir niemand mit html oder php blödsinn auf der seite anstellen kann, wie zb. das design sprengen oder sonstwas.

Alles andere, wie zb das ersetzen der funktionen ect. kommt bei mir nach und nach da ich
es jetzt gerade geschafft hatte meine anderen funktionen (login, forum, profilansichten und PM´s) fertig zu schreiben das ich sie online stellen konnte.

Das ich mich wegen html fehlern dumm und dusselich suche, ja da muss ich dir schon recht geben.
Hatte ich bereits, und ich tue mein möglichstes um solche fehler zu vermeiden.
Ausschließen lässt es sich aber leider nicht das sich fehler einschleichen.

Vielen dank für deine ehrliche (auch ernüchternde) antwort, und ich hoffe es ist jetzt einfacher mir zu folgen.

MFG
R4Zz0R

[cortex]

Zitat:

Zitat von R4Zz0R

Ist es denn überhaupt relevant ob das script im oder auserhalb des documetes steht oder nicht ?

menschenskind, es geht um eine erfolgreiche validierung... dass browser - allen voran der IE - beinahe alles fressen, ist erst einmal eine andere geschichte.

ergänzende lektüre: standard und normung.

cx