Datei mit Parameter öffnen

  • Moin.


    Ich hab mal eine Frage.


    Ich möchte gerne in einer Datei die URL Paramenter von einer anderen URL Abfrage.

    Ist das Möglich?



    Ich habe z.b 2 Seiten

    benutzerEditieren.php?benutzerId=2


    Dann habe ich eine Extra Seite erstellt, wo diese benutzerId aus der URL benötigt wird.


    Diese Datei wo die benötigt werde, lade ich per JavaScript in die Seite wo die Paramenter in der URL angegeben sind.


    Ich weiß es ist etwas kompliziert erklärt, aber ich hoffe ich wisst was ich meine.



    Das ist die Datei mit dem Parameter in der URL: (Nur der Teil wo ich die Seite reinladen möchte)


    Hier die readEdit.php (Wo dieser Parameter benötigt wird)


    Leider wird die Datei nicht geladen.

    Hat jemand eine Idee?



    Gruß

  • wenn ich dich richtig verstanden habe lädst du hier die datei

    Code
    1. $('#showData').load('readEdit.php');

    und im Php Script

    Code
    1. $benutzerId = $_GET['id'];

    Fehlt da nicht ?id=1 im Link ?


    Wahrscheinlich währe es auch sinnvoller das mit $_POST zu machen.

    Wenn einer den kompletten Link kennt und mit den Parametern spielt könnte er an wichtige Daten kommen und so.

    Da solltest du aber auch noch andere Sicherheits abfragen machen ( Session , ob benutzer admin ist usw..).

    Das können dir die anderen aber besser sagen wie und ob man das macht, will da jetzt nix falsches sagen.

  • Verstehe das Problem nicht (bin gerade erst aufgewacht)

    aber bitte alle Werte mit htmlspecialchars maskieren.

    Bsp:

    Statt <?php echo $value['username'] ?>

    Bitte <?php echo htmlspecialchars($value['username']) ?>


    Warum: XSS (einfach mal im Netz suchen).

    Kannst Du selbst testen. Speichere mal einen username mit <script>alert(1)</script>Hans

    und lass Dir den User ausgeben.

  • Also sollte ich lieber immer htmlspecialchars benutzen?

    Immer dann, wenn Du etwas im Browser ausgibst.

    Selbst, wenn die Daten aus Deiner eigenen db, config, file, ... kommt.

    Wenn Du ein script in CLI (command line interface aka console) ausgibts, dann nicht, denn in der CLI with kein Javascript ausgeführt.


    Selbst ausprobieren macht Spass und man lern es besser: spiel einfach bisschen mit (zB) den username rum. Lass htmlspecialchars weg, und nutze irgendwelche Zeichen, die Dir einfallen. zB <, >, ", ', ....

    Schon ein username >hans< würde HTML "brechen".