[Programmierer]

Hy Leute

Ich wollte mal fragen ob das hier richtig ist?

echo '<script> document.location.href='$link' </script>';

$link ist auf das Feld in der MySQL bezogen.

Der Code soll eigentlich den Link zur weiterleitung aus der MySQL db. nehmen. Zum Beispiel steht im Feld "Link in der MySQL db. "abc.htm" und der Code soll es zur dieser Seite weiterleiten!

[Rika]

Na, wie war das noch mal mit dem Escapen von relevanten Sonderzeichen?

[Programmierer]

Sorry, aber leider kenne ich mich mit PHP nicht sehr gut aus!

Ach sorry, hab es jetzt heraus gefunden, wo der Fehler liegt, ist ja auch irgendwie klar

echo "<script> document.location.href='$row[link]' </script>";

Aber ich bedanke mich trotzdem

Dieser Beitrag wurde von Programmierer bearbeitet: 19. Juli 2006 - 15:26

[daarg]

Ich würds eher so machen:

<meta http-equiv="refresh" content="0; URL=<?php echo strip_tags($row['link']);?>" />

// ch

[Rika]

Zitat

strip_tags

Sehr sehr schlecht. Nehmen wir mal an, der Link könnte von jemanden manipulierbar sein (z.B. weil das so vorgesehen ist). Dann nimmt er einfach "http://your.good/site.htm\"><body onload=\"document.location='http://some.evil/site.htm'\">", und dagegen hilft strip_tags() genau gar nichts. Also wenn, dann lieber komplett URL-escapen.

[Gitarremann]

statt per php irgendein browserseitiges script auszugeben oder in nem meta-tag rumzumurkeln könnte man aber auch gleich:

header("Location: http://xxx.xxxxx.xx/");

nehmen. zumindest anstatt des meta-tags.

Zitat (Gitarremann: 23.07.2006, 01:51)

statt per php irgendein browserseitiges script auszugeben oder in nem meta-tag rumzumurkeln könnte man aber auch gleich:

header("Location: url=$dingsbums");

nehmen. zumindest anstatt des meta-tags.

äh zusatz: das hat jetzt natürlich nix mit der sicherheitsrelevanten diskussion hier zu tun.