print variabel ud fra $_REQUEST[test]

Sådan?

$variabelNavn = $_GET['q'];
echo $$variabelNavn;

nemli sådan. skal du ikke skrive et svar før jeg kan give dig point? eller har jeg ikke lige forstået systemet?

Ja, meget sjovt det kan gøres, men nej: du skal ikke lægge det på nettet, for det er et gigantisk sikkerhedshul.

er det selve iden som har et sikkerhedshul eller nielles forslag?

erikjacobsen  har fuldstændig ret - det er ikke specielt sikker kode. Dertil vil jeg så tilføje at det ikke er specielt pæn kode heller.

I stedet for at arbejde med variable-af-variable vil der som regel altid være en pænere låsning som bruger arrays til den slags:

$q = $_GET['q'];
echo $DitArray[$p];

Man bør *altid* tjekke input som kommer "udefra". Specielt hvis man:

1) bruger det i sine SQL kommandoer.
2) bruger det til at include filer med.
3) bruger det i en eval().

... og så er der sikkert noget jeg har glemt.

Problemet er at en ond hacker-type har masse af muligheder for at *ændre* på den slags input sådan at din kode pludselig gør noget helt andet end den ville gøre hvis inddata var "almindeligt og pænt".

Selve ideen. Forestil dig dit script en dag bruge database. Så har du en

include.php:
<? $user="xxx";
  $pass="yyy";
  mysql_connect("host",$user,$pass);
?>

Og i dit script:

<?
  include("include.php");
  $kurt="flot fyr";
  $variabelNavn = $_GET['q'];
  echo $$variabelNavn;
?>

Så tror du man kalder den:  index.php?q=kurt  og får udskrevet "flot fyr", men man kunne li'så godt kalde den:  index.php?q=pass  - gæt hvad der sker. Og ja, det vil der komme en Brian Bitvender og gøre en dag ;)

skal det ikke stå $DitArray[$q]; og ikke med p?

Godt fanget :^)

nielle: ja, det er rigtigt atman skal tjekke det, men princippet behøves vel ingen af delene? self ville det være bedre at have alle variabel dataerne i en MySQL database eller en anden fil, og bruge include, for at koden skulle se bedre ud,

erikjacobsen: ja, kan godt se det, men så kan jeg vel bare blive nød til at holde mine variables inde i den samme fil som jeg har koden?

Nej, du skal høre hvad vi siger: Du skal ikke gøre det på den måde nielle har skrevet først. Det vil aldrig være en god idé. Du kan ikke overholde en programmeringsdisciplin, der sikrer, at det ikke er "følsomme" data i variabler i din kode.

Du skal derimod kigge på hvad nielle foreslår (han kom før mig med forslaget...hehe): put det i et array, og kig kun i det array. Altså ikke:

  $kurt="flot fyr";

men

  $DitArray["kurt"]="flot fyr";

ok, jeg har bare ikke brugt arrays før, og læste lidt om det på google og kunne ikke ummildbart se forskellen på at bruge
$names[0] = 'John';
$names[1] = 'Paul';
$names[2] = 'Steven';
$names[3] = 'George';
$names[4] = 'David';
mod de alm variabler
$names0 = "John";
$names1 = "Paul";
$names2 = "Steven";
$names3 = "George";
$names4 = "David";

Så må du til at læse lidt op på arrays ;) Det er den bedste opfindelse der er sket, siden fiskene gik på land for en milliard år siden, sådan cirka.

... tæt efterfulgt af hjulet ;^)

det vil jeg så gøre. men er nielles svar så det jeg skal bruge (og give point for)?

Jeg samler ikke på point, gør med dem hvad du vil :)

Spørgeren bestemmer altid hvad der skal se med point. :^)

Men, du fik svar på dit spørgsmål du fik at vide at du ikke burde kode sådan, og du fik endda at vide hvordan du så burde kode i stedet.

Om du vil kode som 02/02-2008 21:01:22 - forkert.
... eller som 02/02-2008 21:26:02 - rigtigt.

er din selvfølgeligt din egen sag, men du har fået vores argumenter i sagen :^)

Lukketid?

oh ja, og tak for svarene

Tak for point :^)