inputvar: Defaultwert für get::var

**lichtfest** · 04.10.2011, 18:46

Ich würde gerne beim Aufruf einer Contao-Seite einen Wert mitgeben -> ...home.html?variable=wert
-> Die Seitenlinks sind ja von contao vorgegeben und ich habe leider in der Seitenstruktur leider keine Möglichkeit gefunden ein Postfix für den Link anzugeben -> Wie kann ich das also bewerkstelligen?

Danke - Markus

**Toflar** · 04.10.2011, 21:58

Das müsstest Du im entsprechenden Template abfangen und anhängen

Oder aber so komische Konstrukte wie eine Seite anlegen, die eine externe Weiterleitung ist, aber eigentlich auf die gleiche Domain, nur halt mit Parameter, weiterleitet

**lichtfest** · 05.10.2011, 20:51

Danke, habe es wie von Dir vorgeschlagen im Template (fe_page) gelöst:

Für alle die es interessiert hier der Code den ich eingefügt habe:

PHP-Code:


    <?php 

      if ($_GET['meineVariable']=='' && ($this->pageTitle=='meinSeitentitel'))

      {

           $_GET['meineVariable'] = 'meinDefaultwert';

      }

    ?>

**Toflar** · 05.10.2011, 20:56

Niemals GET und POST Daten einfach so roh verwenden!

Jedes gute Framework bietet Filterklassen dafür

PHP-Code:


$inputGet = $this->Input->get('key');

$inputPost = $this->Input->post('key');

***xchs*** · 05.10.2011, 20:57

Das Contao Framework bietet für GET-Parameter usw. eine eigene Input-Klasse an:

PHP-Code:


$this->Input->get('foobar')

Allein schon aus sicherheitstechnischen Gründen empfiehlt sich die Filterung über die Klasse.

**lichtfest** · 05.10.2011, 21:03

Ok, danke - Es handelt sich aber nicht um ein Formular sondern um eine händisch gesetzte nicht sicherheitsrelevante Variable:

Losgeschickt habe ich diese auf folgende Art und Weise: ...meineSeite.html?variable=wert

-> Hätte ich dann nicht bereits in hier ein Sicherheitsproblem weil jeder den Wert sehen kann?

Wie könnte ich bei einer sicherheitsrelevanten Übergabe den Wert losschicken?

**Toflar** · 05.10.2011, 21:07

Nein, das ist nicht das Problem, das Problem ist ja gerade, dass jeder diese Variable setzen kann, wie er will

Je nach dem wo Du die dann verwendest, z.B. direkt in einem Datenbank-Query, kann das übel enden

**lichtfest** · 16.10.2011, 12:14

Zitat von Toflar

Nein, das ist nicht das Problem, das Problem ist ja gerade, dass jeder diese Variable setzen kann, wie er will

Je nach dem wo Du die dann verwendest, z.B. direkt in einem Datenbank-Query, kann das übel enden

Ok, aber wie kann ich denn dann eine Variable sicher von einer Seite zu einer anderen verschicken?

Im Moment habe ich auf der einen Seite den Link: www.website.com/seite.html?myvar=wert
-> Muß ich hier auch schon was ändern oder passt das noch hinsichtlich der Sicherheit?

Und in der Empfängerseite kann ich dann meinen Code wie folgt abändern?

PHP-Code:


<?php 

      if ($this->Input->get('myvar') =='' && ($this->pageTitle=='meinSeitentitel'))

      {

           $this->Input->get('myvar') = 'meinDefaultwert';

      }

    ?>

**Christian G.** · 16.10.2011, 12:21

mit POST über ein verstecktes Formular auf jeder Seite. Oder über den Keks.
Was auch immer der Sinn dahinter ist...

hth,
Christian G.

**Toflar** · 16.10.2011, 14:39

Zitat von lichtfest

Ok, aber wie kann ich denn dann eine Variable sicher von einer Seite zu einer anderen verschicken?

Im Moment habe ich auf der einen Seite den Link: www.website.com/seite.html?myvar=wert
-> Muß ich hier auch schon was ändern oder passt das noch hinsichtlich der Sicherheit?

Die Parametrisierung kannst Du ja eben NICHT sichern. Jeder kann dein Script aufrufen wie er will. Deshalb musst Du den Input filtern