Willkommen in der Webstatt
User-1 am 18.07.07 13:51

Hallo

Ich habe ein merkwürdiges Problem mit.. naja ich weiss leider nicht womit. Warhscheinlich hat es mit PHP auf IIS zu tun, denn auf meinem Xampp läuft es.

ich habe ein Textfeld, indem, im Falle eines Fehlers im Formular, der Text stehen bleiben soll:

<input type="text" name="absender_email" class="absender" value="<?=$absender_email?>" />
Aber im Browser kommt stattdessen einfach "<?=$absender_email?>" als Wert vom Textfeld.. nicht der tatsächliche PHP Wert.

Das komische ist: es läuft wie gesagt auf meinem Xampp und es ist sogar auf der IIS Installation gelaufen. Irgendwann (ich weiss nicht was ich gemacht hätte um das zu verursachen), ist es aber nicht mehr gegangen.

Bevor ihr fragt :)
- register_globals ist auf off
- $absender_email ist ein Post Wert den ich mit extract() in ne Variable umwandle
- extract() funzt, die anderen Variablen werden korrekt übernommen
- auch wenn ich eine andere, eigene Variable im Textfeld ausgeben will, klappts nicht

Hat jemand eine Ahnung was das sein könnte? Hab das noch nie erlebt, und ich mache das immer gleich.

xyz-48ke,
so long

netcup.de Warum gibt es hier Werbung?
User-2 am 18.07.07 14:09

Es kann sein, dass die Einstellung "short_tags" (oder so ähnlich) auf off steht und du somit <?php brauchen musst, und nicht <?.

User-1 am 18.07.07 14:15

/edit.

das wars! danke!!

User-3 am 18.07.07 15:23

Quote
Verwenden Sie extract() nicht für nicht vertrauenswürdige Daten wie xyz-19utzereingaben ($_GET, ...). Wenn Sie dies tun, z.B. weil Sie alten Code der sich auf register_globals verlässt vorübergehend ausführen wollen, so stellen Sie sicher, dass Sie einen nicht überschreibenden extract_type Wert wie EXTR_SKIP verwenden und seien Sie sich bewusst, dass Sie die Daten in der selben Reihenfolge importieren sollen, die in der php.ini in variables_order angegeben wurde.


Soweit dazu :-)

User-4 am 18.07.07 18:21

Quote
Original von xyz-42
[QUOTE]Verwenden Sie extract() nicht für nicht vertrauenswürdige Daten wie xyz-19utzereingaben ($_GET, ...). Wenn Sie dies tun, z.B. weil Sie alten Code der sich auf register_globals verlässt vorübergehend ausführen wollen, so stellen Sie sicher, dass Sie einen nicht überschreibenden extract_type Wert wie EXTR_SKIP verwenden und seien Sie sich bewusst, dass Sie die Daten in der selben Reihenfolge importieren sollen, die in der php.ini in variables_order angegeben wurde.


Soweit dazu :-)[/quote]
Und dazu die offensichtlich fehlende Inhaltsüberprüfung/Escapen -> XSS.

User-1 am 19.07.07 08:27

jaja, ich wusste dass das kommt. ich mag extract und extract mag mich :)

User-5 am 19.07.07 12:52

extract mit einer gpc variable sollte in einem fatal error enden!

Creative Commons Lizenzvertrag
Alle Inhalte des Webstatt-Archivs stehen unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.

Impressum & Kontakt