CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede charlie22 Juniormester
04. september 2020 - 01:41 Der er 9 kommentarer og
1 løsning

php header

Jeg forsøger at lære lidt php. Det er meningen at dette skript skal modtage et nummer, hente et link fra databasen, sende brugeren videre til dette link.
Jeg får dog bare forskellige fejlmeddelser i denne linje:
header('Location: $row["cl_url"]');



<?php
$idlink=$_GET['id'];
$link=mysqli_connect("xxxxxxxxxxx","xxxx","xxxxx","xxxxx") or die(mysql_error());

$result = mysqli_query($link,"SELECT * FROM catal_links_links WHERE cl_lid=$idlink);

while ($row=mysqli_fetch_array($result))
{
header('Location: $row["cl_url"]');
}
/* Make sure that code below does not get executed when we redirect. */
exit;
?>
Avatar billede arne_v Ekspert
04. september 2020 - 02:45 #1
header('Location: '  . $row['cl_url']);

?
Avatar billede charlie22 Juniormester
04. september 2020 - 03:22 #2
Nej det giver også fejl

Parse error: syntax error, unexpected '' (T_ENCAPSED_AND_WHITESPACE), expecting '-' or identifier (T_STRING) or variable (T_VARIABLE) or number (T_NUM_STRING)
Avatar billede arne_v Ekspert
04. september 2020 - 03:33 #3
$result = mysqli_query($link,"SELECT * FROM catal_links_links WHERE cl_lid=$idlink");
Avatar billede charlie22 Juniormester
04. september 2020 - 03:58 #4
Ja nu virker det. Tak
Avatar billede Slater Ekspert
04. september 2020 - 07:10 #5
Skal vi ikke lige med det samme nævne, at man aldrig nogensinde må putte data fra GPC, som f.eks. $_GET-variabler, direkte ind i en SQL query?

Det er ikke direkte relateret til spørgsmålet, men gør dig selv en tjeneste og lær at bruge parameteriserede queries. Se f.eks. eksemplerne her:
https://www.php.net/manual/en/mysqli-stmt.bind-param.php
Avatar billede arne_v Ekspert
04. september 2020 - 14:21 #6
Helt enig.

Den brugte konstruktion er en tikkende bombe.
Avatar billede charlie22 Juniormester
05. september 2020 - 00:38 #7
Handler det om hacking eller sabotage?

Altså at man kan manipulere url selv, altså ændre på get variablken direkte i browseren
Avatar billede Slater Ekspert
05. september 2020 - 08:08 #8
Du skal altid tage højde for at brugerens input ikke er troværdigt, og at alle kan ændre variabler. Dvs. aldrig give adgang til låst indhold udelukkende pga. et fortløbende id i URL'en og lignende.

Men dette går langt videre end det. SQL injection, som du har åbnet for her, lader selv de mest amatøragtige hackere se, manipulere og slette indhold fra din database.

Tag f.eks. din query:

"SELECT * FROM catal_links_links WHERE cl_lid=$idlink"

Du forventer at $idlink er et tal, men hvad hvis en person i stedet sender strengen:
"1; DROP TABLE catal_links"?

Så vil din query først hente linket ud fra id 1, og derefter slette hele tabellen.

Og tro mig, så snart du lægger noget som helst på nettet som søgemaskiner kender til, bliver du bombarderet med den slags automatiserede requests, der forsøger at finde huller i din side.
Avatar billede charlie22 Juniormester
05. september 2020 - 08:51 #9
Findes der en enkel løsning på dette hvis man anvender ovenstående eksempel?
Avatar billede Slater Ekspert
05. september 2020 - 09:32 #10
Løsningen er altid at bruge parameteriserede queries, hvis der er en variabel i din query som på nogen måde kan indflydes af en bruger.

Hvis du er i gang med at lære php, så gør dig selv den tjeneste at læse linket før, forstå det og brug det i fremtiden. Det første eksempel på siden er rimelig simpelt.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Flere spørgsmål fra PHP kategorien

Titel Indlæg Oprettet Seneste aktivitet
Adgang til vandaflæsningsdata Af nemlig i PHP 3 22/04/202422:04 23/04/202416:52
Vælg post rækkefølge Af Mojo_dk i PHP 3 06/04/202418:40 07/04/202412:20
Hjælp til PHP Af Friis77 i PHP 5 11/02/202419:58 12/02/202407:55
Total antal records med undtagelse Af uac i PHP 5 09/02/202414:55 09/02/202415:30
Delete form Af lefsa62 i PHP 1 29/01/202412:40 29/01/202412:41
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 09:27 Stegkode scanner med funktionsknap Af kulawig i Andet hardware
I dag 08:47 hjælp til film Af Carmen i Fri debat
I går 18:19 Fjerne adgangskode Af Geo" søster i Andet sikkerhed
I går 16:44 sletning af en årgang billeder i dropbox Af valsbol i Cloudtjenester
I går 14:54 Skrive tekst fra celle i formel Af SFrede i Excel
White papers
Flere white papers »


Premium
Teaser billede
Vil have moderniseret det danske it-lovsystem: Styrelse søger ene-leverandør til 10-årig kæmpe-kontrakt
Læs mere »
7N fra København runder halvanden milliard kroner i omsætning: Beskæftiger nu 1.700 konsulenter
USA siger ja til stor spionlov: Danske organisationer bør genoverveje partnerskaber med amerikanske tjenester
Dansk transportgigant lagt ned af nordkoreansk cyberangreb: Kræver løsesum
Se alle »
Computerworld
Teaser billede
På tur i BMW's mægtigste elbil: Sådan er livet ombord i en monumental million-ellert
Læs mere »
Porno-giganterne Pornhub og XVideos skal indlevere materiale til EU
En hyldest til klodens snedigste tablet-design: Nu er fremtiden for Microsofts hardware endnu mere uvis
Test: Denne bærbar beviser, hvorfor man ikke skal handle laptop alene ud fra teknikbladet
Se alle »
CIO
Teaser billede
Nu kan mange flere opgradere deres gamle Windows 10-pc'er til Windows 11: Se om du kan opgradere
Læs mere »
På denne dato er det slut med udbredte versioner af Office: Microsoft vil have dig over på de dyrere E3-licenser
Microsoft skruer op for CPU-krav til den næste version af Windows 11: Færre brugere kan nu opdatere
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Se alle »
White paper
Teaser billede
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Læs mere »
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
MDR: Transparent sikkerhed og overvågning i realtid
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »