---

Hej,

Efter at have gennemkigget gruppens 3 sidste uger stiller jeg følgende
spørgsmål

Jeg har et loginsystem hvor folk kan logge ind. :)
Ofte, hvis der allerede er nogle variabler/parametre i URL'en, kommer
der "dubletter" hvis man skriver noget i en form igen

fx kan en url se sådan ud:

http://agge.mam/nej/det.php?er=ikkemam&test=prut?er=gummistøvle

altså 2 x "er" i samme URL-felt - og den begynder med et nyt "?".

Hvis ingen har noget imod det, kan jeg da godt smide et link til
systemet her - men anses det for reklame?

--
Christian

---

"Christian Flintrup" <junk@osxhacks.com> skrev i en meddelelse
news:1eviwjt.1beps0k18a94a4N%junk@osxhacks.com...

[snip en masse]

> Hvis ingen har noget imod det, kan jeg da godt smide et link til
> systemet her - men anses det for reklame?

Nej, og det er den eneste mulighed vi har for at finde fejlen.

--
Mvh. Jonas Delfs, http://delfs.dk
e72bd3e51a7937c87d28b85d677a97b2

---

Christian Flintrup <junk@osxhacks.com> wrote:

> Efter at have gennemkigget gruppens 3 sidste uger stiller jeg følgende
> spørgsmål

Øhm.. hvilket spørgsmål ?

> http://agge.mam/nej/det.php?er=ikkemam&test=prut?er=gummistøvle
>
> altså 2 x "er" i samme URL-felt - og den begynder med et nyt "?".

Så vil $er være "gummistøvle"

> Hvis ingen har noget imod det, kan jeg da godt smide et link til
> systemet her - men anses det for reklame?

Prøv det - og så forklar lige dit spørgsmål igen.

--
Christian Jørgensen | "Ford, you're turning into a penguin"
http://www.razor.dk | "Stop it"

---

"Christian Joergensen" <mail@phpguru.dk> skrev i en meddelelse
news:1552384.6Veaoefvbu@flaf...

> > http://agge.mam/nej/det.php?er=ikkemam&test=prut?er=gummistøvle
> >
> > altså 2 x "er" i samme URL-felt - og den begynder med et nyt "?".
>
> Så vil $er være "gummistøvle"

Ikke nødvendigvis.

--
Mvh. Jonas Delfs, http://delfs.dk
e72bd3e51a7937c87d28b85d677a97b2

---

On Sun, 24 Jun 2001 20:46:30 +0200, "Jonas Delfs"
<jonas@nospam.delfs.dk> wrote:

>Ikke nødvendigvis.

Så vil $HTTP_GET_VARS["er"] være "gummistøvle"

Mere korrekt, eller var det noget andet du vil sige?

Mvh. / Regards Stefan Bruhn
--
<?$email = unserialize("a:15:{i:0;i:115;i:1;i:116;i:2;i:101;i:3;i:102
;i:4;i:97;i:5;i:110;i:6;i:64;i:7;i:98;i:8;i:114;i:9;i:117;i:10;i:104
;i:11;i:110;i:12;i:46;i:13;i:116;i:14;i:111;}");
for ($i=0;$i<=15;$i++) {echo chr($email[$i]);}?>

---

"Stefan Bruhn" <news003@3x7.dk> skrev i en meddelelse
news:ibdcjtcf15rod2n0s5khub5prev5uebsbs@ghashul.dk...

> >Ikke nødvendigvis.
>
> Så vil $HTTP_GET_VARS["er"] være "gummistøvle"
>
> Mere korrekt, eller var det noget andet du vil sige?

Ja, hvis det er PHP4, så er det mere korrekt. Med PHP3 er det jo heller ikke
sikkert at det vil virke, kommer an på track_vars.
.... man tager bare forgivet at $er indeholder det "er" er sat til i
query-strengen.

EOD

--
Mvh. Jonas Delfs, http://delfs.dk
e72bd3e51a7937c87d28b85d677a97b2

---

junk@osxhacks.com (Christian Flintrup) writes:

> altså 2 x "er" i samme URL-felt - og den begynder med et nyt "?".

Det lyder som om du bruger GET i din form. Prøv at bruge POST i
stedet.

> Hvis ingen har noget imod det, kan jeg da godt smide et link til
> systemet her - men anses det for reklame?

Ja, det vil nok gøre det lidt lettere at se hvor fejlen ligger.

--
Jacob
It's not a lie. It's just a very special kind of truth.

Olicom Crossfire 8400 switch til salg, send et bud ...

---

Jacob Bunk Nielsen <spam@bunk.cc> wrote:

> Det lyder som om du bruger GET i din form. Prøv at bruge POST i
> stedet.

Tusind tak! Det løste mit problem.

Så lærte jeg også det mere :)

Scriptet kan beses på
<http://forfatterleksikon.dk/dk/html/insp/ojne.php>.

--
Christian

---

"Christian Flintrup" <junk@osxhacks.com> skrev i en meddelelse
news:1evj2iv.1h09gpnx17fboN%junk@osxhacks.com...

> > Det lyder som om du bruger GET i din form. Prøv at bruge POST i
> > stedet.
>
> Tusind tak! Det løste mit problem.
>
> Så lærte jeg også det mere :)

Problemet er ikke blevet løst, bare skjult ved at lade variablerne være
hidden.
Hvorfor ikke finde ud af hvad problemet egentligt er? -så undgår du sikkert
også problemer i fremtiden...

--
Mvh. Jonas Delfs, http://delfs.dk
e72bd3e51a7937c87d28b85d677a97b2

---

On Sun, 24 Jun 2001 22:36:38 +0200, "Jonas Delfs"
<jonas@nospam.delfs.dk> wrote:

>Problemet er ikke blevet løst, bare skjult ved at lade variablerne være
>hidden.
>Hvorfor ikke finde ud af hvad problemet egentligt er? -så undgår du sikkert
>også problemer i fremtiden...

Problemet er vel at han bruger GET til en URL der indeholder en
querystring allerede.
med GET vedhæfter den vel bare ?variable=værdi, efter url'en den sender
til.

Så kommer der to x ? og det går jo ikke.

Mvh. / Regards Stefan Bruhn
--
<?$email = unserialize("a:15:{i:0;i:115;i:1;i:116;i:2;i:101;i:3;i:102
;i:4;i:97;i:5;i:110;i:6;i:64;i:7;i:98;i:8;i:114;i:9;i:117;i:10;i:104
;i:11;i:110;i:12;i:46;i:13;i:116;i:14;i:111;}");
for ($i=0;$i<=15;$i++) {echo chr($email[$i]);}?>

---

"Stefan Bruhn" <news003@3x7.dk> skrev i en meddelelse
news:71kcjtcb7abs1e0tkua9v686celubicmhd@ghashul.dk...

> >Problemet er ikke blevet løst, bare skjult ved at lade variablerne være
> >hidden.
> >Hvorfor ikke finde ud af hvad problemet egentligt er? -så undgår du
sikkert
> >også problemer i fremtiden...
>
> Problemet er vel at han bruger GET til en URL der indeholder en
> querystring allerede.

Nu er det sådan at man ikke kan GET'e til en URL med en QUERY-STRING, som
fx. action="flaf.php?hej=dav" - det kan man kun med POST.
Vil man bruge GET, må man også krybe til korset, og lave hidden-felter.

Eller jeg misforstår måske din pointe ?

--
Mvh. Jonas Delfs, http://delfs.dk
e72bd3e51a7937c87d28b85d677a97b2

---

On Sun, 24 Jun 2001 22:50:44 +0200, "Jonas Delfs"
<jonas@nospam.delfs.dk> wrote:

>Nu er det sådan at man ikke kan GET'e til en URL med en QUERY-STRING, som
>fx. action="flaf.php?hej=dav" - det kan man kun med POST.
>Vil man bruge GET, må man også krybe til korset, og lave hidden-felter.
>
>Eller jeg misforstår måske din pointe ?

Det mindes jeg da at have gjort. Resultatet var ikke så godt (de samme
probs som Christians tror jeg).

Så jeg brugte POST istedet.

Mvh. / Regards Stefan Bruhn
--
<?$email = unserialize("a:15:{i:0;i:115;i:1;i:116;i:2;i:101;i:3;i:102
;i:4;i:97;i:5;i:110;i:6;i:64;i:7;i:98;i:8;i:114;i:9;i:117;i:10;i:104
;i:11;i:110;i:12;i:46;i:13;i:116;i:14;i:111;}");
for ($i=0;$i<=15;$i++) {echo chr($email[$i]);}?>

---

"Stefan Bruhn" <news003@3x7.dk> skrev i en meddelelse
news:r3lcjtkulkoh80a6dvskb457are578lrtr@ghashul.dk...

> >Nu er det sådan at man ikke kan GET'e til en URL med en QUERY-STRING, som
> >fx. action="flaf.php?hej=dav" - det kan man kun med POST.
> >Vil man bruge GET, må man også krybe til korset, og lave hidden-felter.
> >
> >Eller jeg misforstår måske din pointe ?
>
> Det mindes jeg da at have gjort.

Det tror jeg næppe - prøv selv at lave et forsøg.

--
Mvh. Jonas Delfs, http://delfs.dk
e72bd3e51a7937c87d28b85d677a97b2

---

Jonas Delfs <jonas@nospam.delfs.dk> wrote:

> Eller jeg misforstår måske din pointe ?

Jeg har ikke brug for at embedde query-strings direkte i action="blah
blah". De eneste 2 parametre der skal sendes fra formen, er username og
password. Disse parametre sendes så videre til login.php, som md5'er og
generer et sessionid. Men så "overfører" den de parametre, der allerede
er i adresselinien.

Damn hvor ville det være meget nemmere hvis digiweb kørte PHP4 - så
ville jeg køre med sessions...

--
Christian

---

Stefan Bruhn <news003@3x7.dk> wrote:

> Så kommer der to x ? og det går jo ikke.

Nu har jeg ændret den til POST.

Umiddelbart så det ud til at virke, men jeg tog vist fejl.

Problemet er der stadig...

Hvad er det helt præcis, der bestemmer om den skal erstatte URL-linien
eller om den skal tilføje det efter URL-linien?

Tak for svarene indtil videre!

--
Christian

---

"Christian Flintrup" <junk@osxhacks.com> skrev i en meddelelse
news:1evj3qe.1cd4kc91ckys3N%junk@osxhacks.com...

> > Så kommer der to x ? og det går jo ikke.
>
> Nu har jeg ændret den til POST.
>
> Umiddelbart så det ud til at virke, men jeg tog vist fejl.
>
> Problemet er der stadig...

Hvad sagde jeg... :)

> Hvad er det helt præcis, der bestemmer om den skal erstatte URL-linien
> eller om den skal tilføje det efter URL-linien?

Det er der ikke noget HTML der definerer - hvis du ikke siger andet, er det
lige før jeg vil anklage dig for at gøre det med vilje :)
Du har ikke et hidden-felt indeholdende $QUERY_STRING, eller lign. ? -prøv
at vise noget kode

> Tak for svarene indtil videre!

You're welcome.

--
Mvh. Jonas Delfs, http://delfs.dk
e72bd3e51a7937c87d28b85d677a97b2

---

Jonas Delfs <jonas@nospam.delfs.dk> wrote:

> -prøv
> at vise noget kode

OK :)

Flg. er selve login-feltet (kun et udsnip af koden)
- - - - - - -

<form name="login<? echo time(); ?>" action="login.php" method="post">
<td bgcolor="#d5d5d5" nowrap height="20">Du er logget ind som <?php echo
$username; ?>.</td>
<td bgcolor="#d5d5d5" align="right" nowrap
height="20"><a href="<? echo $thispage; ?>?whattodo=logout&username=<?
echo $username; ?>&sid=<? echo $sid; ?>">Log ud</a></td><?php
} else {
if($whattodo != "logout") { ?>
<td bgcolor="#d5d5d5" nowrap align="left" height="20">Du
er ikke logget ind.</td>
<? }; ?>
<td bgcolor="#d5d5d5" align="right" nowrap height="20">
Brugernavn: <input type="text" name="username" size="10"
maxlength="63"> Kode: <input type="password" name="password" size="10"
maxlength="63"> <input type="submit" name="ok" value="Log ind">
</td>
<td bgcolor="#d5d5d5" nowrap align="center"
height="20"><a href="add-user.php?username=<? echo $username; ?>&sid=<?
echo $sid; ?>">Opret bruger</a></td>
</form>

- - - - - - -
Når man så submitter, får login.php fat i det og laver flg.:
(Generer session-id og stiller brugeren videre til det rette sted)
- - - - - - -

<? $http_ref = getenv("HTTP_REFERER");
require("functions.php");
db_connect();
$password = md5($password);
$result = mysql_query("select * from users where username =
'$username'");
$row = mysql_fetch_array($result);
if($row["password"] != $password or $result == "3") {
header("Location:
http://forfatterleksikon.dk/dk/html/insp/loginok.php?username=$username&
whattodo=badpw");
} else {
$sid = md5($password.time());
$result = mysql_query("update users set sid = '$sid' where
username = '$username'");
if($result = 1) {
$sid_ok = "yes";
};
if (strstr($http_ref, "add.php")) {
header("Location:
http://forfatterleksikon.dk/dk/html/insp/loginok.php?username=$username&
sid=$sid&whattodo=login&sid_ok=$sid_ok");
} else {
header("Location:
$http_ref?username=$username&sid=$sid&whattodo=login&sid_ok=$sid_ok");
};
};

- - - - - - -
Det er ikke så overskuelig med 80-tegns bredde :)

--
Christian

---

"Christian Flintrup" <junk@osxhacks.com> skrev i en meddelelse
news:1evj4fk.ys97iupov87fN%junk@osxhacks.com...

> > -prøv
> > at vise noget kode
>
> OK :)
>

[snip en masse kode]

> - - - - - - -
> Det er ikke så overskuelig med 80-tegns bredde :)

Korrekt - og for at lette arbejdet for o's må du gerne lige fortælle hvilket
led fejlen sker i! :)
Er det når du poster, når der viderestilles via header() eller hvornår?

--
Mvh. Jonas Delfs, http://delfs.dk
e72bd3e51a7937c87d28b85d677a97b2

---

"Christian Flintrup" <junk@osxhacks.com> skrev i en meddelelse
news:1evj4fk.ys97iupov87fN%junk@osxhacks.com...
> Jonas Delfs <jonas@nospam.delfs.dk> wrote:
>
> > -prøv
> > at vise noget kode
>
> OK :)
[snip - en masse kode]
>
> <? $http_ref = getenv("HTTP_REFERER");
[snip - mere kode]
> header("Location:
> $http_ref?username=$username&sid=$sid&whattodo=login&sid_ok=$sid_ok");
[snip]

Din kode er svær at læse, men jeg tror at jeg kan se problemet.

Lad os antage at din startside hedder "login.php". Første gang du sender
ovenstående header $http_ref være "login.php".
Anden gang vil $http_ref være
"login.php?username=someuser&sid=sess_id&whattodo=login&sid_ok=something
"
Hvilket betyder at du får sendt denne location anden gang:
"login.php?username=someuser&sid=sess_id&whattodo=login&sid_ok=something
?username=someuser&sid=sess_id&whattodo=login&sid_ok=something"

Prøv at lave noget i stil med:
list($http_ref, ) = explode("?", genenv("HTTP_REFERER");

MVH Per Thomsen,
http://www.pert.dk/

---

"Per Thomsen" <pert@pert.dk> writes:

> > <? $http_ref = getenv("HTTP_REFERER");
> [snip - mere kode]
> > header("Location:
> > $http_ref?username=$username&sid=$sid&whattodo=login&sid_ok=$sid_ok");
> [snip]

[snip]

> Prøv at lave noget i stil med:
> list($http_ref, ) = explode("?", genenv("HTTP_REFERER");

Man kunne også bruge $PHP_SELF istedet for $HTTP_REFERER. Der er jo ingen
garanti for at $HTTP_REFERER overhovedet er defineret.

--
Finn Nielsen - http://www.zznyyd.dk/

---

"Finn Nielsen" <usenet01@zznyyd.dk> skrev i en meddelelse
news:m3sngpm7yp.fsf@ares.zznyyd.dk...

> > > <? $http_ref = getenv("HTTP_REFERER");
> > > header("Location:
> > > $http_ref?username=$username&sid=$sid&whattodo=login&sid_ok=$sid_ok");

> > Prøv at lave noget i stil med:
> > list($http_ref, ) = explode("?", genenv("HTTP_REFERER");

> Man kunne også bruge $PHP_SELF istedet for $HTTP_REFERER. Der er jo ingen
> garanti for at $HTTP_REFERER overhovedet er defineret.

Øh? $PHP_SELF giver stien på der hvor du er nu - ikke hvilken side der har
sendt dig der hen.

--
Mvh. Jonas Delfs, http://delfs.dk
e72bd3e51a7937c87d28b85d677a97b2

---

"Jonas Delfs" <jonas@nospam.delfs.dk> writes:

> "Finn Nielsen" <usenet01@zznyyd.dk> skrev i en meddelelse
> news:m3sngpm7yp.fsf@ares.zznyyd.dk...
>
> > > > <? $http_ref = getenv("HTTP_REFERER");
> > > > header("Location:
> > > > $http_ref?username=$username&sid=$sid&whattodo=login&sid_ok=$sid_ok");
>
> > > Prøv at lave noget i stil med:
> > > list($http_ref, ) = explode("?", genenv("HTTP_REFERER");
>
> > Man kunne også bruge $PHP_SELF istedet for $HTTP_REFERER. Der er jo ingen
> > garanti for at $HTTP_REFERER overhovedet er defineret.
>
> Øh? $PHP_SELF giver stien på der hvor du er nu - ikke hvilken side der har
> sendt dig der hen.

Ok, jeg har ikke læst hele tråden. Jeg så det som han submitter fra
login.php til login.php og brugte $HTTP_REFERER til at finde ud af at
at hvor han var..

--
Finn Nielsen - http://www.zznyyd.dk/

---

Finn Nielsen <usenet01@zznyyd.dk> wrote:

> Ok, jeg har ikke læst hele tråden. Jeg så det som han submitter fra
> login.php til login.php og brugte $HTTP_REFERER til at finde ud af at
> at hvor han var..

Det er også rigtigt. Men det virker nu vha. explode.

Tak, Finn, og alle andre.
jeg kunne også have brugt PHP_SELF og sendt den med i en query string
til login.php

Men nu bruger jeg explode / list.

Endnu en gang, tak!

--
Christian