Hallo zusammen,
Ich habe nicht das Problem, dass etwas nicht funktioniert. Ich habe mehr das Gefühl, dass ich den falschen Weg gewählt habe.

ich bin seit einiger Zeit damit beschäftigt, mir ein eigenes kleines Blog-System zu schreiben.
Dabei rufe ich auf einer Seite alle zu einer Kategorie gehörigen Eintragsüberschriften ab.

Jeder dieser Eintragsüberschriften wird automatisch ein submit-button hinzugefügt. Klicke ich ihn, wird mir der jeweilige zur Eintragsüberschrift gehörige Artikel angezeigt.

Das funktioniert soweit alles. Da aber nun alles auf Formular-Aktionen basiert, wird mir natürlich, wenn ich im Browser den Artikel aktualisieren möchte, die Warnung angezeigt, das die zu aktualisierende Seite POST-Daten enthält.....Sehr unschön.

Bin ich bei der Umsetzung so auf dem falschen Weg?

[robo47]

warum ein submitbutton ? ein link tut es doch auch ? er muss ja im endeffekt nur die gleichen Infos enthalten wie das formular das zum submitbutton gehört und die daten die die Seite zum editieren entgegennimmt müssen halt via $_GET anstatt $_POST ausgelesen werden, im Zweifelsfall nimmt man $_REQUEST dann ist man variabel.

mfg
robo47

Hm, also einfach get statt post?!
Das werde ich mal ausprobieren. Bisher habe ich alles mit post gemacht...get empfand ich immer als "unsicher"
Aber für diese Aufgabenstellung reicht es wohl.
Danke für den Denkanstoss.

[robo47]

GET ist genauso unsicher wie POST und COOKIE, alles ist vom user manipulierbar, ein POST-request, kann jeder der sich bissel auskennt genauso an ein script schicken wie post, es wirkt nur meistens schwerer. klar ich kann in ner URL direkt was ändern und alles, aber dafür hab ich ja überprüfungen der ankommenden werte, unabhängig ob es cookies, formulare oder links sind die mir die Daten zur verfügung stellen.

http://www.php-faq.de/q/q-sicherheit-parameter.html

Dann wird es mal Zeit für eine Grundsatz-und Verständnisfrage ...

Sollte man dann grundsätzlich $_SESSION für Variablenübermittlung nutzen?
Ich habe das bisher nur für Login-Systeme genutzt.
Gibt es irgentwelche Einschränkungen bei der Benutzung von $_Session gegenüber von $_POST?

[robo47]

überprüfen, überprüfen, überprüfen

Also ohne GET und POST wird man nichtauskommen, das mal gleich vorab.

Einfach immer davon ausgehen, dass die Daten böse sein können

nur mit Session Arbeiten geht ja nicht, weil man in ner Session nur Daten von einer Seite zur anderen bekommt aber keine Auswahl treffen kann.

Da es sich ja bei dir um einen Internen Bereich handelt sollte erstmal das Login entscheidend sein, sprich auf jeder Seite bevor irgendwas gemacht wird, das Login überprüfen. darauf achten, dass man deine scriptdateien nicht direkt aufrufen kann:

http://www.deinedomin.tld/admin/sour...=bla&text=blub

hier sollte dann wohl ne fehlermeldung kommen, dass man entweder nicht eingeloggt ist, oder die datei nur nutzbar ist, wenn sie includet ist.

dann alle werte halt überprüfen, nur weil man auf ner Seite in nem Formular ne auswahlbox hat, darf man nicht davon ausghene, dass nur diese Werte ankommen, also immer nen Else-Zweig haben, der nicht vorhandene oder falsche Werte abfängt. Daten die vom user kommen, bevor sie in die DB wandern immer mit mysql_real_escape_string, addslashes, mysql_escape_string oder einer ähnlichem funktion bearbeiten, dass kein Code eingeschleust werden kann, das gilt FÜR ALLE parameter eines querys, auch wenn es "nur" die anzahl der datensätze ist die abgeholt werden soll oder ähnliches.



mfg
robo47

Zitat:

Also ohne GET und POST wird man nichtauskommen, das mal gleich vorab.

Das wollte ich wissen. Wäre ja auch zu schön gewesen, wenn es die eierlegende Wollmilchsau geben würde.
Hatte mir nach Deinem letzten Posting schon Hoffnungen gemacht, mich nur noch auf eine Übergabeart konzentrieren zu müssen

Zitat:

weil man in ner Session nur Daten von einer Seite zur anderen bekommt aber keine Auswahl treffen kann.

Das mit der Auswahl wusste ich nicht, daher meine vielleicht dumme Frage.

Danke für Deine Ausführung.

Jetzt habe ich doch noch ein Problem. Ich hatte die POST-Methode eigentlich genutzt, weil ich so alles innerhalb einer Datei erledigen kann.
Ich kann die Eintragsnamen anzeigen lassen, und nach klicken des submit-buttons den Eintrag in der selben Datei anzeigen lassen. Die Anzahl meiner benötigten Dateien ist also schön klein.
Eine Datei pro Kategorie.

Wenn ich mit GET arbeite, rufe ich ja prinzipbedingt eine neue Seite auf. Ich müste also für jeden einzelnen Eintrag eine neue Datei erstellen, was ich aber nicht möchte.

Wie kann man dieses Problem lösen. Ich sehe im Moment nur die Auswahl zwischen 2 Übeln...
entweder ich muss mit dieser "POST-Warnung" leben, oder ich darf unzählige Dateien anlegen.

[robo47]

naja ne weitere variable via post übergeben ?

?bereich=bereich1

und dann ein switch in dein script wo du eben alles unterscheidest, ob du jetzt die liste vorgesetzt bekommst, einen einzelnen eintrag editierst, oder abschickst.

mfg
robo47

Ich glaube, wir beide reden aneinander vorbei...
Du redest scheinbar von meinem Adminbereich, wo ich Inhalte anlegen und verändern kann. Ich rede aber von öffentlichen Bereich, wo sich jeder die Kategorieübersicht ansehen kann, und sich dort einzelne Einträge abrufen kann.

[robo47]

öhm ja

naja trotzdem bekommt man das mit nem switch oder ähnlichem alles in eine datei, wenn es denn unbedingt sein muss
ansonsten ein verzeichnis für die bereich die dann einfach includet werden, macht das script kleiner

hm...verstehe nicht so ganz, was Du mir sagen willst.
guck mal hier:
http://www.oscore.de/ospro/index.php...at_datenschutz

Wenn Du dort auf "lesen" klickst, kommt der Eintrag. Isr er da und du aktualisierst den Browser...kommt die POST-Meldung.

[robo47]

ja und wo ist jetzt das problem ?
ich hab doch eigentlich alles schon so beschrieben wie es geht oder ?

nen link mit den werten die sonst via POST übergeben werden ausgeben lassen und dann GET anstatt POST auswerten.

Mein Problem dabei ist, das ich bei der GET-Variante für jeden Eintrag eine Datei erstellen muss.
Mit der POST-Variante kann ich auf die Ursprungsdatei verweisen und habe alles mit einer Datei abgetan.

[Jojo]

Warum musst du bei GET für jede Variante eine Datei erstellen???
dann heißt dein Link z.B.
http://www.ospro.de/index.php?conten...utz&meldung=65
wenn die Meldung existiert, zeigst du die meldung, wenn nicht zeigst du die kategorie an.
Was ist das Problem?

Danke ihr Beiden...
@Jojo: Deine kurze Ausführung habe ich gebraucht. Da lag ein grundsätzliches Verständnisproblem meinerseits vor, was die Arbeit mit GET angeht.

[Jojo]

kein problem ^^

Nun habe ich ein Folge-Problem ;-(

Technisch funktioniert die Geschichte jetzt.

Mein Problem gehört zwar in den XHTML-Sektor, aber da es sich um ein Folgeproblem handelt, schreibe ich mal hier weiter...

Seitdem ich nun die Verlinkung mittels GET fertig habe, wollte ich die Seiten validieren.
Leider meckert mir dieser meine Link-Syntax an.
-----------------------------------------------

Fehler: Allgemeine Entität "id" nicht definiert und keine Standardentität definiert
Fehlerstelle: ... <a class="text" href="/ospro/index.php?content=eintrag&id=18"> lesen</a>

Spalte: 147
Fehler: Abschließendes Semikolon fehlt
Fehlerstelle: ... <a class="text" href="/ospro/index.php?content=eintrag&id=18"> lesen</a>
----------------------------------------------

gibt es da einen Trick?

[Jojo]

joah, der Validator mag den Ampersand nicht so gerne.
Er verlangt den entsprechenden HTML-Code dafür.
zum Beispiel &amp;

<a class="text" href="/ospro/index.php?content=eintrag&id=18">
wird also zu
<a class="text" href="/ospro/index.php?content=eintrag&amp;d=18">

...schnell und kompetent....

vielen Dank.