Beiträge von GreenRover

felixstoessel hast eigentlich meinen post gelesen?

du must dafür sorgen das man weder durch vorn noch durch hinten anhängen falsche dinge öffnen kann

das währe doof:

include($id);
http://www.deindomain.de/index.php?id=http://www.google.de
http://www.deindomain.de/index.php?id=/etc/passwd


include('includes'.$id.'.php');
http://www.deindomain.de/index.php?id=../index

das währe sicher:

include('includes/_inc.'.$id.'.php');

dort kannst du meines wissen nach (kenne keinen bug) nichts mehr includen was nicht includet werden dürfte.

$werte = array();
$res =mysql_query('SELECT thema1, thema2, thema3 FROM tabelle');
while($row=mysql_fetch_row($res))
{
$werte[]=$row;
}

dann hast das ganze in eienr array was wesentlich sinvoller ist...

$a1 währe dann $werte[0][0]
$a2 währe dann $werte[1][0]
$b1 währe dann $werte[0][1]
usw...

@bandit600 das ist bei großen scripten viel viel zu aufwändig!

das mit dem file_exist ist an sich schon garnicht so übel, aber so kann man immer noch eventuell hochgeladene bilder die nicht ganz so toll abgesichert sind relativ leicht mit php code versehene und so schadcode einschleusen..

include('includes/_inc.'.$id.'.php');

so kann man weder urls noch datein aus anderen verzeiuchnissen includen.

so können wirklich bloß datein aus einem verzeichniss welches nur files von dir / kein user uploads enthält ausgeführt werden.

echo "<form action=\"{$_SERVER['PHP_SELF']}\" method=\"post\">\n";

oder leer lassen...

nö

das ist actionscript und benötigt keine server extension

also mit dem normale html upload formular kann keine progress realisiert werden.

also mus als sende client etwas mächtigeres her (mittels php über einen bidirektionalen kanal den upload vortschirtt an zu geben währe zwar möglich aber schweisse zu realisieren da die nie weist wie die datei im tmp ordner heist (doof bei simultanen uploads)

Also hast du die Wahl zwischen einen JAVA Applet (ist kein Javascirpt) was aber von wenigen usern angenommen wird weil es ein rechtes Sicherheitsrisiko sein kann.
Oder die Variante wie ich sie immer nutze: Flash... ab Flash 8 super easy....
Dann kannst du auch noch wenn du es nichts über eine webseite lösen möchtest auf die windows XP + Vista Webfreigabe zurück greifen. (sperrst aber mac und linux user aus)

schaue dir dazu mal im flash manual an:
FileReference.upload()
http://www.flashforum.de/forum/showthread.php?t=242807

schon hast nen konflickt
die doppelten Anführungstriche.

<script>


if( location.pathname == "xxx"){
     document.write("STARTPAGE");
}


else{
document.write("


        htmltextzeugs</td><a href=\"\">.....


"
}
</script>

ganz zum anfang vor jeder ausgabe.. und ohne wird es nicht gehen... eine session ist imho die einzigst vernüftige möglich dein vorhaben zu realisieren.

also in der ersten zeile der index.php
<?PHP session_start(); ?>

ja es hat vielleicht funktioniert. aber nicht so wie es sollte.
Und sollte so wie es nun ist auch funktionieren und zwar so wie es soll.
Wenn du dann noch die Frage beantworten würdest, ob du das session_start(); gesetzt hast.

zudem sollte man immer so coden, das das script auch von einem Mensch zu lesen ist und nicht nur von Maschinen.
Das Script sollte möglichst effizient sein (uneffizienter als deine Variante ging es kaum)
Du benutzt Objekte in einem strukturierten Programm (was ein wirwar)
Und vermutlich kann ich so wie es mom ist sicher auch eine nette sql injektion machen.

wind?!
sollte man das nicht noch ausschreiben:

window

das prinzip sollte so funktionieren...

die frage ist nur ob du das session_start() auch gesetzt hast.

man man man ist das ein schlechter programmier stiel... dafür darf man doch kein geld nehmen... autsch..

also hast du ein session_start(); an anfang deiner Datei (vor jeder Ausgabe) wenn nicht, setze es!

ich habe nur wenige Fehler behoben, es hat also noch massig!

<tr>
    <td height="30" width="20"></td>
    <td height="40" colspan="2"> [b]<font size="<?= $FONTSIZE_TITLE2 ?>" color="<?=


$FONTCOLOR_TITLE2 ?>">
      <?= $TITLE2 ?>
      </font>[/b]</td>
  </tr>
  <tr>
    <td height="50" width="20"></td>
    <td height="50" colspan="2">[url='index.php?nr=<?= $get_vars['nr'] ?>'][img]images/uebersicht.gif[/img][/url][url='suche.php?nr=<?= $get_vars['nr'] ?>'][img]images/suchen.gif[/img][/url][url='agbs.php?nr=<?= $get_vars['nr']?>'][img]images/agbs.gif[/img][/url][url='warenkorb.php?nr=<?=$get_vars['nr'] ?>'][img]images/warenkorb.gif[/img][/url]
    </td>
  </tr>
  <tr>
    <td height="25" width="20"></td>
    <td height="25" bgcolor="<?= $TABLE_COLOR1 ?>" colspan="2">[b]<font size="<?=$FONTSIZE_TITLE3 ?>" color="<?= $FONTCOLOR_TITLE3?>">&Uuml;bersicht</font>[/b]</td>
  </tr>
  <tr>
    <td height="50" width="20"></td>
    <td height="50" bgcolor="<?= $TABLE_COLOR2 ?>" colspan="2">
   <?PHP
    $result = mysql_query("select id from ".$PREFIX."_Hauptgruppen order by anzeige");
    if (mysql_numrows($result)>0)
    {
   ?>
      <table width="98%" border="0" cellspacing="0" cellpadding="0" align="center">
        <tr>
          <td height="10"></td>
        </tr>
        <tr>
          <td height="10"> <font size="<?= $FONTSIZE_NORMAL ?>">Bitte w&auml;hlen
            Sie eine Kategorie:</font> </td>
        </tr>
        <tr>
          <td height="10"></td>
        </tr>
        <tr>
          <td>
       <?PHP


         $result = mysql_query("select id , name from ".$PREFIX."_Hauptgruppen order by anzeige");

         if ($_SESSION[$_GET['main_kat']==true)
          $_SESSION[$_GET['main_kat'] = false;
	 else
	  $_SESSION[$_GET['main_kat']] = true;


         while ($row = mysql_fetch_assoc($result))
            {


               echo "[img]images/group.gif[/img]<font size='$FONTSIZE_NORMAL'>[url='index.php?main_kat={$row[']{$row['name']}[/url]</font>
";

               if ($_SESSION[$row['id']]==true)
               {

                     $result1 = mysql_query("select id, name from ".$PREFIX."_Untergruppen where main_kat = '{$row['id']}' order by anzeige");
                     while ($row1 = mysql_fetch_assoc($result1))
                        {
			 echo "<font size='$FONTSIZE_NORMAL'>[url='show.php?kategorie={$row1[']{$row1['name']}[/url]</font>
";
                        }
                }
            }
         ?>
          </td>
        </tr>
        <tr>
          <td height="10"></td>
        </tr>
      </table>
      <?PHP } ?>


  <tr>
    <td height="20" width="20"></td>
    <td height="20" bgcolor="<?= $TABLE_COLOR1 ?>" width="100"> [b][/b]</td>
    <td height="20" bgcolor="<?= $TABLE_COLOR1 ?>">
      <div align="right"><font size="1"><a class="zurueck" href="http://www.laaser.net"


target="_blank">[i][b]...
        powered by Laaser ShopSystem[/b][/i]</a>[i][b][/b][/i]</font></div>
    </td>
  </tr>

Ja das auf jeden Fall... Also solche finge mache ich nur extrem selten.
z.B. $tmp dann ist die aber maximal 5 Zeilen lang gültig.

aber nun sie mal ehrlich, du findest das obere doch nicht wirklich übersichtlicher / schneller erfasbar oder? Den ich habe hier im Büro rumgefragt also Programmierer und Sekretärinen sagen da alle das gleichen.

Bin ja definitiv dafür das im Team einheitlich geschrieben werden sollte aber das wie, passt mir bei diesem "Standart" nicht.

Wenn man z.B. Klammern hat die nicht auf der selben Seite sind macht man Kommentare dazu. Wenn man die immer noch nicht findet, der Editor kann es sicher Das ist an deinem "Standart" auch nicht anders.

Ja KYLT das stimmt.. also ich mache es ab 3 Zeilen HTML Code. (wenn inline HTML ist kann man das zudem schön im Dreamweaver betrachten)

Das mit dem $bis vermute ich mal auch das was KYLT sagte.

<?php
   while($row=mysql_fetch_assoc($musik))
   {
      if ($row['bis'] == 1)
      {
         echo "[url='{$row[']{$row['name']}[/url]
";
      }
      else
      {
         echo "<a href='{$row['code']}' target='_blank' class='Header'>{$row['name']}
               </a>
               [img]images/spacer.gif[/img][img]images/pfeil.gif[/img]
               [url='{$row[']Banner[/url]
";

      }
   }
?>

lasst die finger von Qbjekten solange ihr nicht wisst was das ist.

DarkSyranus

naja ich habe mir das mal durchgelesen.
Code ja nun wirklich schon eine ganze Weile..

finde die Hälfte der Regeln nonsens und benutze sie so nicht.

was ist z.B. an

if ($_tmp_status['timed_out'])
   {
     die('Fehler: timeout ermittelt');
   }
   else
   {


    if (preg_match('/Content\-Length\: ([0-9]*)/', $d, $treffer))
     $cl = $treffer[1];


    if ($cl==0)
    {
     $header.=$d;
    }
    else
    {
     $data.=$d;
    }
   }

besser als an

if ($_tmp_status['timed_out'])
   {
     die('Fehler: timeout ermittelt');
   } else {


    if (preg_match('/Content\-Length\: ([0-9]*)/', $d, $treffer))
     $cl = $treffer[1];


    if ($cl==0)
     $header.=$d;
    else
     $data.=$d;
   }

also die geschweiften klammern beim else zu haben finde ich masiv übersichtlicher...

also das ganze ist imho Situationsbedingt und nicht nach einem Standard zu machen. Ee stimmt zwar das man auf Übersichtlichkeit achten sollte wobei Kommentare Goldwert sind. Aber diese Regeln finde ich Quatsch.

crAzywuLf naja also direct connect darf es schon noch sein, das ist doch fast lan party pflicht... (dann gleich mit 10tera oder so) (imemr wieder lustig wenn da ein kleine verbeulte linux kiste steht die ein paar tera platten hat ;-p)

Seeker wie meinst das mit user rechte? willst das mit login machen? oder machst du dir sorgen um die windoiws rechte?

schon mal was von usort() gehört?