Kleines Problem mit PHP

[bwoebi]

Nein. Aber sag doch gleich, dass wir include nicht nutzen dürfen. Hat ja auch diese Probleme....

Die Funktion ist da, da es nicht anders geht in C. (Ich frage mich nur warum intern nicht auf ein \0 im String geprüft wird...)

[burning eagle]

Wo wir grad beim Thema Sicherheit und Includes sind: Je nachdem, was für Seiten du einbindest (z.B. welche die eigentlich bestimmte Rechte erfordern, etc.) solltest du die zu includende Seite schützen, in dem du prüfst, ob sie von der Aufruf-Datei aufgerufen wird oder man sie einfach so per Browser öffnet. (z.B. per Konstante, die in der Aufruf-Datei gesetzt wird)

Um bisschen rumzutesten brauchst du das allerdings alles noch nicht und du kannst das erstmal alles in einer Datei machen.

[Blue.Shark]

Wo wir grad beim Thema Sicherheit und Includes sind: Je nachdem, was für Seiten du einbindest (z.B. welche die eigentlich bestimmte Rechte erfordern, etc.) solltest du die zu includende Seite schützen, in dem du prüfst, ob sie von der Aufruf-Datei aufgerufen wird oder man sie einfach so per Browser öffnet. (z.B. per Konstante, die in der Aufruf-Datei gesetzt wird)

Also du meinst das man sie Startseite umgeht und oben direkt ?page=news eingibt und direkt zu den Neuigkeiten kommt?
Naja das wär ja nicht so schlimm. Bzw. kann man das überhaupt umgehen, wenn ja, wie?

[Maverick123]

Er meint, dass man nicht einfach news.php öffnen kann, sondern nur über index.php?page=news den Inhalt der Datei abrufen kann. Macht an gewissen Stellen Sinn.

[Blue.Shark]

Er meint, dass man nicht einfach news.php öffnen kann, sondern nur über index.php?page=news den Inhalt der Datei abrufen kann. Macht an gewissen Stellen Sinn.

Und wie verhindert man das?

[Maverick123]

(z.B. per Konstante, die in der Aufruf-Datei gesetzt wird)

Zum Beispiel könntest du in index.php vor dem Includen eine Konstante setzen:

http://php.net/manual/de/function.constant.php

Code: Alles auswählen

define("INCLUDED", true);    // der wert ist egal, du könntest es auch als "bla" oder 123 definieren, hauptsache es ist gesetzt.. man kann auch noch in der includeten datei überprüfen, ob die konstante auch den richtigen wert hat x)

Und in deiner Datei, die du included hast, schreibst du dann:

http://www.php.net/manual/de/function.defined.php

Code: Alles auswählen

if (defined("INCLUDED"))
{
    // inhalt
}
else
{
   // fehler, da die konstante nicht gesetzt wurde und die datei nicht included ist
}

So würde ich es jedenfalls machen, keine Ahnung ob das hübsch ist, da müsstest du bwoebi fragen
Alternativ geht das ganze auch mit einer einfachen Variable, die du vorher setzt und dann in der includeten Datei überprüfst.

[Blue.Shark]

Dann kann ich ja gleich den Text den ich include an die Stelle rienkopieren^^ Ist zwar nicht übersichtlich aber was sollst.
Oder ich include news65935986559875987.php
Da kommt niemand drauf und kann daher auch nicht direkt zugreifen^^

[Cembon]

Das ist dann Sicherheit durch Verschleierung, richtig sicher ist es nicht, könnte ja doch jemand draufkommen.^^

[burning eagle]

Dann kann ich ja gleich den Text den ich include an die Stelle rienkopieren^^ Ist zwar nicht übersichtlich aber was sollst.
Oder ich include news65935986559875987.php
Da kommt niemand drauf und kann daher auch nicht direkt zugreifen^^

Wie gesagt, solange du wenig Code hast, solltest du kein Problem mit Übersichtlichkeit bekommen.
Wenns dann mal >100 Seiten sind, die über die index.php aufgerufen werden, wirst du irgendwann die Vorteile vom includen erkennen.
Von der Idee mit den Ziffern hinter dem Namen würde ich abraten... Brute Force ftw.

/edit: Für die saubere Lösung s. Mavericks Code.

[Blue.Shark]

Ich hab mal noch eine kleine Frage:
Folgender Beispielcode:

Code: Alles auswählen

<?php
	if($name == "Otto") {
?>
	Guten Tag Otto!
<?php
	}
	else{
?>
	Du bist nicht Otto!
<?php
	}
?>

Die Frage bezieht sich auf das Umklammern vom normalen Html Code mit einer PHP-if schleife indem man ständig die PHP-tags öffnet bzw. schließt.

Jetzt zur Frage: Ist folgender Code erlaubt? Bzw. hat er sicherheitslücken oder ist das eigentlich ganz ok wenn man es so macht? Oder ist er unsauber? Benutzt ihr das auch oder macht ihr alles mit echo?

[Cembon]

Sollte so funktionieren, ist aber jetzt nicht unbedingt die schönste Art und Weise.
z.B. wäre

Code: Alles auswählen

if($name == "Otto")
    echo "Guten Tag Otto!";
else
    echo "Du bist nicht Otto!";

kürzer und übersichtlicher

[bwoebi]

[...]

Die Frage bezieht sich auf das Umklammern vom normalen Html Code mit einer PHP-if schleife indem man ständig die PHP-tags öffnet bzw. schließt.

Jetzt zur Frage: Ist folgender Code erlaubt? Bzw. hat er sicherheitslücken oder ist das eigentlich ganz ok wenn man es so macht? Oder ist er unsauber? Benutzt ihr das auch oder macht ihr alles mit echo?

Der Code sollte ganz problemlos sein. Für einzelne Zeilen ist es am schönsten ohne den PHP-Kontext zu verlassen. (Siehe Cembons Post)

Für größere Textblöcke ist die Methode den PHP-Kontext zu verlassen besser, weil übersichtlicher mMn. Dafür gibt es übrigens eine Syntax die besser dafür geeignet ist finde ich:

Code: Alles auswählen

<?php if ($name == "Otto"): ?>
Guten Tag Otto!
<?php else: ?>
Du bist nicht Otto!
<?php endif; ?>

(Btw. ich hasse es alles zu echo'en, da muss dann immer alles voller Backslashes sein; man kann dann zwar auch heredoc/nowdoc nutzen, aber da kann man auch gleich aus PHP rausspringen...)

[Cembon]

@bwoebi: Wenn man wie du immer "" für die String-Begrenzung nutzt, dann braucht man bei HTML ein paar Backslashes, ja

[Rober]

http://www.php.net/manual/de/language.t ... ax.heredoc

Und nowdoc (mittlerweile auch in PHP)

(achja, für mehrzeilige Ausgaben sinnvoll, für Einzeiler ist print,printf, bzw echo besser lesbar)

[bwoebi]

@bwoebi: Wenn man wie du immer "" für die String-Begrenzung nutzt, dann braucht man bei HTML ein paar Backslashes, ja

Auch wenn man mit single-quotes vollgespammtes Englisch schreibt...