variabler i adresser

Hvordan ser koden ud?

Hvad mener du?
Jeg døber bare en variabel i toppen af siden: $menunavn = $menu og bruger $menunavn de steder hvor jeg skal.

Men hverken echo $menu eller echo $menunavn giver noget output.

Jeg har ikke ændret noget som helst, og siden har kørt problemfrit hos en anden host i to år.

hvis $menunavn = $_GET['menu'];
virker, så er det nok alligevel register globals

Det virker tilsyneladende med $_GET

Så vidt jeg husker er der en vis usikkerhed i at bruge $_GET eller husker jeg forkert?

Så længe du validere dine inputs fra brugere, om det så er fra $_POST eller $_GET de kommer fra, så skulle der ikke være noget problem i $_GET.
Der i mod er der en stor sikkerhedsrisiko ved at have register_global sat til on.

Kan du uddybe hvorfor, eller henvise til en fyldestgørende forklaring?

Hvad vil du have jeg skal uddybe ??

At du skal validere alt som kommer fra brugere ???
Det gi er lidt sig selv, du kan på forhånd ikke være sikker på at det du forventer en bruger sender, faktisk er det som brugeren sender, til dit script.

At register_global ikke skal være sat til on ?
Register_global betyder at alle dine variabler er globale, det gør at en bruger udefra kan påvirker dit script, da en vilkårlig variabel i dit script også kan gives en værdi ved at skrive variablens navn og nye værdi i f.eks. adresselinjen når scriptet kaldes.

Håber det gav lidt mening. Har desværre ikke lige et link til noget mere tekst, men søg på google og du vil sikkert finde noget.

Måske lidt kan ja alligevel hjælpe med:
http://dk2.php.net/manual/en/security.globals.php
http://www.usenet-forums.com/php-language/23515-whats-risk-register_globals.html
http://www.colder.ch/news/09-09-2005/4/another-example-showing-t.html

Det var kun lige en hurtig googlesøgning. :-)

Det er bare mig der er lidt tungnem.

Hvis jeg har en side hvor brugeren bliver dirigeret videre via variabler i links, er det vel lige meget for sikkerheden om jeg bruger $_GET eller jeg bruger globale variabler. Brugeren kan da stadig gå op i adressefeltet og ændre værdien på variablen.

...men jeg må hellere nærstudere dine links og se om det giver bedre forståelse.

<ole>

<?
// Her modtages $bla via URL'en:
if ($bla=="blabla") {
  // En masse kode, der ender op i,
  // - at $noget bliver sat
    $noget = "foo";
}

if ($noget) {
    // Gør et eller andet
    // - på baggrund af $noget
}
?>

Hvis jeg som bruger kan gætte, der er en variabel, der hedder $noget, kan jeg bare sætte den i URL'en og springe $bla-betingelsen over. Det ville jeg ikke kunne, hvis register_global var sat til 'off'.

Det er godtnok ikke god kodeskik at spørge på en variabel, man ikke selv har initialiseret - men kommer man til at lave sådan en bommert, blotter man sig fatalt, hvis register_global er sat til 'on'.

Der er masser af andre eksempler  ;o)

/mvh
</bole>

Når du har sat register_global til on, så kan bruger, udover at ændre den variabel du har sat i links, ændre samtlige andre variablers startværdi i adresselinjen.

Hvis du bruger $_GET så er du sikker på at kun de variabler du vægler at hente fra adresselinjen bliver brugt i dit script, og på det6 tidspunkt du vægler at bruge dem. Alle andre variabler i scriptet har de værdier du regner med de har.

Og hvis man skulle lave et link til oleboles script:

olescript.php?bla=blabla

Men det kan også skrives som:

olescript.php?noget=hejhej

Hvilket jo bevirker at kun sidste if-sætning bliver kørt.

Ok, så fes den ind :-)

Point?

Lukker..

Et svar, hvis du føler jeg har har hjulpet :-)

;o)

Takker for god forklaring fra begge.