Dobrý den,
mám tento formulář, který jsem si chtěl integrovat do phprs, ale zjistil jsem, že nefunguje např. na endoře apod.
Upravoval a zkoušel jsem ho u poskytovatele, kde to fungovalo, ale když jsem ho přenesl na endoru tak to nefunguje ačkoliv info email z článku ano.
Je to ve verzi php? Vadí tomu rozlišování písmen? Nevíte někdo kde to upravit?
Děkuji za každou radu.







Celkem upraveno 1×. Poslední úprava roman v 22.06.2011 18:22.

problem bude s nastavenim register_globals v php
[http://navody.c4.cz/register_globals]

Děkuji za odpověď register_globals je na webu endora off a tam, kde jsem to zkoušel je on. Ale jak předělat všechny skripty tak aby fungovaly na off?

roman napísal/a:
-------------------------------------------------------
> Děkuji za odpověď register_globals je na webu
> endora off a tam, kde jsem to zkoušel je on. Ale
> jak předělat všechny skripty tak aby fungovaly na
> off?

Pristupuj k premenným z formulára cez pole $_POST a ošetri si magic_quotes, alebo ak to načítava config.php z phpRS, môžeš použiť $GLOBALS, kde sú magic_quotes ošetrené automaticky podľa konfigurácie servera.

To všechno chápu, ale nevím jak upravit výše jmenovaný soubor tak, aby fungoval na off. Mám tam toho hodně a stačilo by mi jen ukázka co přepsat.
Děkuji za odpověď.



Celkem upraveno 1×. Poslední úprava roman v 22.06.2011 18:24.

Vím, že mám změnit následující, ale kam přesně přidat $_POST?






Celkem upraveno 1×. Poslední úprava roman v 22.06.2011 18:22.

roman napsal/a:
-------------------------------------------------------
> Děkuji za odpověď register_globals je na webu
> endora off a tam, kde jsem to zkoušel je on. Ale
> jak předělat všechny skripty tak aby fungovaly na
> off?


a proc jsem tam asi tak daval ten odkaz, kde je to vysvetleno?
a google ma dneska výpadek? [http://www.lmgtfy.com/?q=register_globals+php]

Je to názorne ukázané v tom odkaze čo vložil MirekS.
Mám formulár

<form action="" method="post">
  <input name="nazov_premennej" value="booooo">
  <input name="save" type="submit" value="Odoslať formulár">
</form>

spracovanie:

<?php
  print_r($_POST); // vypise cele POST pole
  echo $_POST['nazov_premennej']; // vypise: booooo
?>

POZOR!
Akýkoľvek výstup úžíveteľských dát musí byť ošetrený funkciou htmlspecialchars, inak si koleduješ minimálne o nepermanentný XSS hack webu, teda napríklad:

echo '<tr><td>Bankovní spojení:<br><br><td colspan="3"><input type="text" name="banka" value="'.htmlspecialchars($banka, ENT_QUOTES).'"><br><br></tr>';

JJ děkuji za odpověď, ale už jsem to různě zkoušel a bohužel nic, proto jsem myslel, že mě nakopnete právě příkladem z toho formuláře.

pokud ti nestačí, co zde bylo uvedeno, pak musíš začíct na něčem jednodušším a nejdřív trochu studovat a pak něco tvořit
[http://interval.cz/programovani/php/page/10/]
[http://interval.cz/programovani/databaze/page/3/]
[http://www.zive.cz/Autori/sc-44/default.aspx?author=367]
[http://www.lmgtfy.com/?q=bezpe%C4%8Dnost+php+skript%C5%AF]
[http://www.lmgtfy.com/?q=xss+hack]

Omlouvám se nevěděl jsem, že je tak těžké ukázat na konkrétním příkladu kam vložit ten post.

No ak sem dáš dvestoriadkový neprehľadný script, ťažko môžeš čakať, že sa niekomu bude chcieť v tom bordely hrabať. $_POST dávaš všade tam, kde máš premenné, spoliehajúce sa na register_globals on. navyše lepšie vysvetlenie ako už bolo odkazované ti asi nikto nedá.



Jak předělat skripty, aby fungovaly pro vypnuté register globals?

Pokud máte skripty, které jsou vytvořené pro zapnuté register_globals, lze je poměrně jednoduše předělat, aby fungovaly s vypnutými register globals. Vezměme jako příklad výše uvedený skript admin.php, který zpracovává údaje (jméno a heslo) z přihlašovacího formuláře. V tomto skriptu jsou proměnné $jmeno a $heslo, které díky zapnutým register_globals obsahují data z formuláře. Stačí na začátek skriptu dát následující řádky:

<?php

$jmeno = $_POST["jmeno"];
$heslo = $_POST["heslo"];

...



Ak čakáš, že ti niekto bude prepisovať tvoj script, rovno to napíš. Myslel som, že chceš informácie alebo radu, nie úpravu tvojho scriptu.

Chci si to upravit sám, ale furt mi to hází chyby.

Nevím jen přesně kde přidat ten post. Mám i jiné formuláře, kde jsem to změnil a funguje to, ale tenhle se mi nedaří:(
Nevím zdali by stačilo to pozměnit tady v té části či i jinde.

$zprava.="\nNázev organizace: ".$org."\n\nUlice a čp.: ".$ulice."\nMěsto: ".$mesto."\nPSČ: ".$psc."\n\n";
$zprava.="IČO: ".$ico."\n\nE-mail: ".$mail."\nTelefon, Fax: ".$telefon."\nBankovní spojení: ".$banka."\nFakturační údaje: ".$faktura."\nChcete nám něco sdělit?: ".$jine."\n\n";
$zprava.="Odpovědná osoba: ".$vedouci."\nKontaktní osoba: ".$dalsi."\n";
if (mail('email@email.c z','Zavazna prihlaska',$zprava)) {
echo 'Přihláška byla úspěšně odeslána e-mailem.';
echo '</body></html>';
exit;

$jmeno = $_POST["jmeno"];
nNázev organizace: ".$org." nevím co s tím

Stačí na začátek skriptu dát následující řádky:

<?php

$jmeno = $_POST["jmeno"];
$heslo = $_POST["heslo"];

to jako, že bych to vložil někam na začátek např. takto?

$org = $_POST["org"];
$kurz = $_POST["kurz"];

a tak pokračoval se všemi proměnnými?

Ať vložím post kamkoli tak to hází chyby stačilo by mi jen ukázku vložení jedné proměnné z toho formuláře.
Děkuji.

roman napsal/a:
-------------------------------------------------------
> Omlouvám se nevěděl jsem, že je tak těžké ukázat
> na konkrétním příkladu kam vložit ten post.

ono totiž je lepší člověka něco naučit a pokud se učit nechce, tak pak je zbytečné se s ním zabývat
problematika je totiž dost složitá a pokud teď vyřešíš $_POST ve formuláři na odeslání emailu, který zde spousta lidí viděla, pak se třeba dá snadno zneužít k rozesílání spamu, pokud ho nebudeš mít dobře zebezpečen, což znamená, že se musíš pročíst těmi odkazy, co jsem sem dával, znovu opisovat, co už někdo napsal fakt nebudu

ještě bych přidal třeba [http://www.root.cz/vyhledavani/?cx=016098403239631414888%3A7yxfxng7aus&cof=FORID%3A9&ie=UTF-8&q=php+bezpe%C4%8Dnost&sa=Hledat&siteurl=www.root.cz%2F#1200]

ono není špatné, aby programátor webových aplikací znal způsoby napadení a zneužítí webů, aby se tomu dokázal co nejlépe bránit

roman napísal/a:
-------------------------------------------------------
> Chci si to upravit sám, ale furt mi to hází
> chyby.

Chyby - to je dosť široký pojem na to aby ti niekto konkrétne poradil.

> $org = $_POST["org"];
> $kurz = $_POST["kurz"];
> a tak pokračoval se všemi proměnnými?


Presne tak, nič komplikované na tom nie je. Pred zobrazením tých premenných treba použiť htmlspecialchars() takto:
echo htmlspecialchars($org, ENT_QUOTES);
Použitie ale závisí od kontextu, dobré vysvetlenie je tu: [http://phpfashion.com/escapovani-definitivni-prirucka]

roman napsal/a:
-------------------------------------------------------
> Omlouvám se nevěděl jsem, že je tak těžké ukázat na konkrétním příkladu kam vložit ten post.

před každou očekávanou proměnnou...

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

JanVar napísal/a:
>
> před každou očekávanou proměnnou...
>

Alebo všetky premenné na začiatku scriptu.