YourWBB


yourWBB » yourWBB Misc * » Das Proggen » Skripte » Suche [PHP] Header auslesen » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag 3.032 Views | | Thema zu Favoriten hinzufügen

Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen [PHP] Header auslesen
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Madd Eye Madd Eye ist männlich
PHP/VB.Net/JS/C++ Programmierer


images/avatars/avatar-5268.jpg

Dabei seit: 12.04.08
Beiträge: 108
Fähigkeiten: WBB3 Fortgeschritten
Herkunft: Kennt eh kein Schwein
Forenversion: 3.0
 [PHP] Header auslesen Antworten Zitieren Editieren Melden       UP
Nach langer erfolglosen suche im Netz frag einfach mal hier nach


ICh möchte gerner aus dem header auslesen

Beispiel:

Header:
code: 
1:

http://dieurl.de/test.php?user=Username


Nun möchte ich Username in einer Variable auslesen

Hab schon hiermit Probiert:

php: 
1:
2:
3:

<?php
$username $_GET['user'];
?>



Wie könnte es geht oder geht es überhaupt?
27.11.08 18:54 Madd Eye ist offline E-Mail WWW Finden Als Freund hinzufügen
ENTE ENTE ist männlich
So quasi!


images/avatars/avatar-5627.gif

Dabei seit: 21.04.07
Beiträge: 741
Fähigkeiten: WBB3 Profi; WBB2 Profi; WBB Lite 2 Profi
Herkunft: Bernrieder Winkel
Forenversion: 3.0; 2.3
Antworten Zitieren Editieren Melden       UP
Ich hab das Ganze mal in Xampp ausprobiert, funktioniert ohne Probleme. Vielleicht hat dein Hoster Get-Variablen deaktiviert, was weiß ich warum. Ich würde dir aber noch empfehlen, einen Filter gegen SQL-Injects einzubauen.

Im Anhang noch ein "Beweisfoto"

Dateianhang:
jpg maddeye.jpg (204,08 KB, 80 mal heruntergeladen)


__________________
App-Store-Apps.de
Real programmers don't comment their code - it was hard to write, it should be hard to understand
27.11.08 19:06 ENTE ist offline E-Mail Finden Als Freund hinzufügen Füge ENTE in deine Kontaktliste ein
Madd Eye Madd Eye ist männlich
PHP/VB.Net/JS/C++ Programmierer


images/avatars/avatar-5268.jpg

Dabei seit: 12.04.08
Beiträge: 108
Fähigkeiten: WBB3 Fortgeschritten
Herkunft: Kennt eh kein Schwein
Forenversion: 3.0

Themenstarter Thema begonnen von Madd Eye
Antworten Zitieren Editieren Melden       UP
Das ist ja für einen Logout der Login ist dagegen gesichert


ICh weiß das es nicht ausgeschalten ist da ich es bei anderen seite auf ähnliche weiße verwende. So in dem Style: SIEHE MEIN TUT

Hier ist mal mein Logout Script:

php: 
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:

<?php
$username $_GET['user'];

$MYSQL_HOST 'localhost';
    $MYSQL_USER 'user';
    $MYSQL_PASS 'pass';
    $MYSQL_DATA 'db';

$connid = @mysql_connect($MYSQL_HOST$MYSQL_USER$MYSQL_PASS) OR die('Error: '.mysql_error());
          mysql_select_db($MYSQL_DATA) OR die('Fehler bei der Verbindung: '.mysql_error());
          
$sql "UPDATE 1_accounts SET UserSession = '0' WHERE username = '".$username."'";
$result mysql_query($sql) or die("Fehler beim schreiben in die Datenbank: ".mysql_error());

mysql_close($connid); 

header("Location: ../index.php");
exit;   

?>
27.11.08 19:26 Madd Eye ist offline E-Mail WWW Finden Als Freund hinzufügen
ENTE ENTE ist männlich
So quasi!


images/avatars/avatar-5627.gif

Dabei seit: 21.04.07
Beiträge: 741
Fähigkeiten: WBB3 Profi; WBB2 Profi; WBB Lite 2 Profi
Herkunft: Bernrieder Winkel
Forenversion: 3.0; 2.3
Antworten Zitieren Editieren Melden       UP
Probier mal meinen Code aus (siehe Screen). Wenn dann nix außer dem "Dein Username ist: " dortsteht, würd ich den Provider kontaktieren.

__________________
App-Store-Apps.de
Real programmers don't comment their code - it was hard to write, it should be hard to understand
27.11.08 19:34 ENTE ist offline E-Mail Finden Als Freund hinzufügen Füge ENTE in deine Kontaktliste ein
Madd Eye Madd Eye ist männlich
PHP/VB.Net/JS/C++ Programmierer


images/avatars/avatar-5268.jpg

Dabei seit: 12.04.08
Beiträge: 108
Fähigkeiten: WBB3 Fortgeschritten
Herkunft: Kennt eh kein Schwein
Forenversion: 3.0

Themenstarter Thema begonnen von Madd Eye
Antworten Zitieren Editieren Melden       UP
Ja gut ich hab das Problem erkannt. ICh habe im Header von logout.php den User nicht drinnen hab das versucht zu beheben

Code von ./Game/index.php?user=MaddEye

php: 
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:

<?php
$username $_GET['user'];


echo "geht!";

echo ("

<form action='../logout.php?user=".$username."'>
<input type='submit' value='Logout'>
</form>



")

?>


GEht aber net obwohl das doch eigentlich funktionieren müsste
27.11.08 19:45 Madd Eye ist offline E-Mail WWW Finden Als Freund hinzufügen
Dizzy.w3 Dizzy.w3 ist männlich
Brain Damage


images/avatars/avatar-5617.jpg

Dabei seit: 18.07.07
Beiträge: 1.431
Herkunft: Österreich
Forenversion: 3.0
Antworten Zitieren Editieren Melden       UP
Hi,

wenn du dieses "Script" via foo.php?x=bar aufrufst, und nicht "bar" angezeigt bekommst, solltest du dich erinnern können, wie du deinen Namen tanzt.

php: 
1:

<?=$_GET['x'];?>


Zudem ist diese Variante höchst unschön. Schließlich könnte auch Franzi logout.php?user=Hans aufrufen. Und plötzlich wäre Hans ausgeloggt, dabei wollte Hans das vermutlich gar nicht. Und SQL-Injections sind auch möglich:

index.php?user=Hans;UPDATE+l_accounts+SET+passwort='foo' und alle Passwörter in der Tabelle wären plötzlich umgestellt, und der Angreifer kann sich austoben.

Prävention hierfür kannst du kurz hier finden: http://de.wikipedia.org/wiki/SQL-Injektion#PHP

__________________
Gruß Dizzy

the rest is silence
27.11.08 20:28 Dizzy.w3 ist offline E-Mail Finden Als Freund hinzufügen Füge Dizzy.w3 in deine Kontaktliste ein MSN Passport-Profil von Dizzy.w3 anzeigen
Baumstruktur | Brettstruktur
Gehe zu:

Neues Thema erstellen Antwort erstellen
yourWBB » yourWBB Misc * » Das Proggen » Skripte » Suche [PHP] Header auslesen