$_POST-variablen werden nicht richtig übergeebn

[bluedisc]

Hallo!

Ich habe ein Formular mit zwei Submit-Buttons. Je nach Knopfdruck Wird halt das action bestimmt. Jetzt werden aber statt den Formularfelderinhalt nicht richtig übertragen. Es werden nur 1en übertragen. Mache ich irgendwas falsch?

Viele Grüße,
bluedisc

 

[wegus]

da meistens Millionen von Menschen mit solchen Programmiersprachen zum Ziel kommen sollte die Frage nicht lauten "mache ich etwas falsch?" sondern "Was mache ich falsch?" und dazu Bedarf es schon etwas Source-Codes! Auch die Annahme das die POST-Variablen nicht richtig übergeben werden teile ich nicht. Du übergibst vielleicht ungewollt etwas Falsches oder liest falsch aus... Solltest Du tatsächlich auf eine Anomalie gestoßen sein, bin jedenfalls gespannter Mitleser!

 

[bluedisc]

ist unterwegs.

 

[bluedisc]

Bestellung.php

<form method="post>
<input type="text" name="Name">
<input type="submit" onClick="form.action='select.php';">
<input type="text" name="email">
<input type="submit" onClick="form.action='Bestellung2.php';">

select.php

//Die input felder
$hidden = '<input name="Name" type="hidden" value="' . isset($_POST['Name']) . '">'

Im Quellcode stehen nur 1en.

Viele Grüße,
bluedisc

 

[getraenkemarkt]

Das Ergebnis von isset ($_POST['Name']) ist true, also 1.

Wenn Du den Inhalt ausgeben willst, nimmst Du $_POST['Name'] oder besser

(isset ($_POST['Name']) ? strip_tags ($_POST['Name']) : '')

Dann bekommst Du keine Fehlermeldung wenn die Variable nicht gesetzt ist und es kann auch kein fremder Code ausgegeben werden.

PS: Wenn es um einen Bestellprozeß geht, ist es keine gute Idee, die Variablen über hidden inputs auf den Folgeseiten mitzuschleppen. Sowas kannst Du in der Session speichern.

 

[Amael]

http://webserver/shop/bestellung.php?ID=42;UPDATE+USER+SET+TYPE="admin"+WHERE+ID=23

*räusper* ... ich ahne schreckliches...

 

[wegus]

ja, das ist dann die 2te Stunde in der Formular-Hobbythek

 

[bluedisc]

THX. Ihr seit immer wieder sehr hilfsbereit.

 

[bluedisc]

http://webserver/shop/bestellung.php?ID=42;UPDATE+USER+SET+TYPE="admin"+ WHERE+ID=23

*räusper* ... ich ahne schreckliches...

Warum? Ich mache das ja nicht mit $_GET, oder wie meinst du das genau?

 

[wegus]

Warum? Ich mache das ja nicht mit $_GET, oder wie meinst du das genau?

das sich auch ein POST-Request manipulieren läßt
Du mußt das in jedem Fall prüfen!!!

Das Stichwort dazu ist: http://de.php.net/manual/en/function.mysql-real-escape-string.php

 

[getraenkemarkt]

Ihr seid ja einen Schritt voraus. Eben hatten wir doch erst den XSS-GAU und Ihr fangt schon mit SQL Injections an. Das ist doch zuviel an einem Tag zu lernen für den TE Ich hoffe bloß, das sind nur Übungen zum PHP-Lernen und er stellt das nicht online...

 

[wegus]

ich schrub ja, das ist dann schon 2te Stunde

 

[bluedisc]

das funkt alles ohne MySQL. Muss ich dann auch die mysql_escape... machen?

 

[getraenkemarkt]

Nein, aber das wichtigste ist folgende Regel: Niemals fremden Inhalten vertrauen, alle externen Variablen validieren. Dann kann schon nicht mehr ganz so viel schiefgehen.

 

[bluedisc]

wie soll ich jetzt die POST Sachen in SESSION umwandeln? Methode="Session" gibs ja nicht, oder?

 

[getraenkemarkt]

http://www.php.net/manual/de/book.session.php

 

[rm -r *]

http://de3.php.net/manual/de/book.session.php

Ups, hatte nicht gesehen, das es eine zweite Seite gibt und damit den Beitrag von getraenkemarkt übersehen.
Aber doppelt hält ja bekanntlich besser.

 

[bluedisc]

Hallo!

Soll ich die Variablen Zuweisung so machen?

<?php
session_start();
$_SESSION['Name'] = $_POST['Name'];
usw
?>

Viele Grüße,
bluedisc

 

[getraenkemarkt]

Aber erst, nachdem Du die Variable validiert hast.

 

[bluedisc]

was meinst du mit validiert ?

Viele Grüße,
bluedisc