Re: php/mysql: leere Seite
Le Samstag 11 März 2006 12:39, Oliver Jato a écrit :
> hab noch einen möglichen grund eben vergessen. ich vermute das $cat_id
> mit der url an das skript übergeben wird und du sprichst es als globale
> variable an. dann muss auf dem rechner auf dem es funktioniert in der
> php.ini register_globals = On gesetzt sein.
Hallo Oliver,
das war's in der Tat. So etwas ähnliches hatte ich mir schon gedacht, hätte es
aber nie allein gefunden.
In php.ini steht dazu:
"; You should do your best to write your scripts so that they do not require
; register_globals to be on; Using form variables as globals can easily lead
; to possible security problems, if the code is not very well thought of.
register_globals = On".
> vielleicht ist es ja auf dem
> anderen rechner auf Off, was auch generell eine gute idee ist. nur musst
> du get/post/cookie variablen dann anders ansprechen. in diesem fall zB
> mit $_GET['cat_id'] oder $_REQUEST['cat_id']. und du solltest solche
> variablen unbedingt mit mysql_real_escape_string() bearbeiten bevor sie
> in eine datenbank query gesteckt werden. wenn es ums escapen geht musst
> du dich dann eventuell auch mit magic_quotes_gpc auseinandersetzen.
Das ist mir zu hoch. Ich habe keinen Server, sondern schreibe und teste meine
Site nur auf meinem Rechner, bevor ich sie zum Provider schicke. Ist das
wirklich ein großes Sicherheitsproblem in diesem Fall?
auf jeden Fall 1000 Dank, du hast mir sehr weitergeholfen
Klaus
Reply to: