Willkommen in der Webstatt Zum Webstatt Blog und Stories
phore phore am 18.07.07 13:51

Hallo

Ich habe ein merkwürdiges Problem mit.. naja ich weiss leider nicht womit. Warhscheinlich hat es mit PHP auf IIS zu tun, denn auf meinem Xampp läuft es.

ich habe ein Textfeld, indem, im Falle eines Fehlers im Formular, der Text stehen bleiben soll:

<input type="text" name="absender_email" class="absender" value="<?=$absender_email?>" />
Aber im Browser kommt stattdessen einfach "<?=$absender_email?>" als Wert vom Textfeld.. nicht der tatsächliche PHP Wert.

Das komische ist: es läuft wie gesagt auf meinem Xampp und es ist sogar auf der IIS Installation gelaufen. Irgendwann (ich weiss nicht was ich gemacht hätte um das zu verursachen), ist es aber nicht mehr gegangen.

Bevor ihr fragt :)
- register_globals ist auf off
- $absender_email ist ein Post Wert den ich mit extract() in ne Variable umwandle
- extract() funzt, die anderen Variablen werden korrekt übernommen
- auch wenn ich eine andere, eigene Variable im Textfeld ausgeben will, klappts nicht

Hat jemand eine Ahnung was das sein könnte? Hab das noch nie erlebt, und ich mache das immer gleich.

Danke,
so long

netcup.de Warum gibt es hier Werbung?
Wasili am 18.07.07 14:09

Es kann sein, dass die Einstellung "short_tags" (oder so ähnlich) auf off steht und du somit <?php brauchen musst, und nicht <?.

phore phore am 18.07.07 14:15

/edit.

das wars! danke!!

CIX88 am 18.07.07 15:23

Quote
Verwenden Sie extract() nicht für nicht vertrauenswürdige Daten wie Benutzereingaben ($_GET, ...). Wenn Sie dies tun, z.B. weil Sie alten Code der sich auf register_globals verlässt vorübergehend ausführen wollen, so stellen Sie sicher, dass Sie einen nicht überschreibenden extract_type Wert wie EXTR_SKIP verwenden und seien Sie sich bewusst, dass Sie die Daten in der selben Reihenfolge importieren sollen, die in der php.ini in variables_order angegeben wurde.


Soweit dazu :-)

hoffie hoffie am 18.07.07 18:21

Quote
Original von CIX88
[QUOTE]Verwenden Sie extract() nicht für nicht vertrauenswürdige Daten wie Benutzereingaben ($_GET, ...). Wenn Sie dies tun, z.B. weil Sie alten Code der sich auf register_globals verlässt vorübergehend ausführen wollen, so stellen Sie sicher, dass Sie einen nicht überschreibenden extract_type Wert wie EXTR_SKIP verwenden und seien Sie sich bewusst, dass Sie die Daten in der selben Reihenfolge importieren sollen, die in der php.ini in variables_order angegeben wurde.


Soweit dazu :-)[/quote]
Und dazu die offensichtlich fehlende Inhaltsüberprüfung/Escapen -> XSS.

phore phore am 19.07.07 08:27

jaja, ich wusste dass das kommt. ich mag extract und extract mag mich :)

Snake am 19.07.07 12:52

extract mit einer gpc variable sollte in einem fatal error enden!

Creative Commons Lizenzvertrag
Alle Inhalte des Webstatt-Archivs stehen unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.

Impressum & Kontakt