Index 0 aus array entfernen?

Wenn die Funktion so groß ist, dass du den Überblick über deine Variablen verlierst, machst du irgendwas falsch.

Ich?
Einfach nur weglassen.

Du kannst PHP_SELF benutzen, darfst es nur nicht unbehandelt im Kontext HTML ausgeben - htmlspecialchars hilft.

$_SERVER['SCRIPT_NAME'] ist meist sicherer. Prüfe vor der Verwendung ob das auf deinem System auch so ist.

Aber wie schon gesagt: Enfach weglassen wäre das Einfachste.

Und beide nur brauchbar, wenn es auch eine direkte Beziehung URL <-> Scriptname gibt.
REQUEST_URI, ggf. zerlegt, ist manchmal als Alternative brauchbar.

Hallo,

Ok die vorschläge schein sich ja ganz vielfältig zu sein.

Ich würde das mal von der anderen seite angehen, also Frage zu Punkt 2 von combie:
>2. PHP_SELF ermöglicht u.U. XSS Attacken

Was für Schaden kann man jetzt hier überhaupt anrichten?

Dein Google kaputt?
Cross-Site Scripting ? Wikipedia

Ähmm nicht kaputt, aber ich befasse mich weniger mit schlechtigkeites dieser art...auf was menschen für ideen kommen - fantastisch!

Ok ich lese mir das mal durch, scheint aber ne komplizierte sache zu sein.

Im notfall erlaube ich in eingabefelder nur die zeichen die man da drin wirklich braucht.

Gehe prinzipiell immer davon aus, dass alles, was nicht unter deiner Kontrolle steht, böse sein kann. Und was der Benutzer auf seiner Seite im Browser (oder mit anderer Software) macht, kannst du nicht kontrollieren, somit erwarte immer das Schlimmste.

Wer im Internet gutgläubig ist, handelt sehr fahrlässig. Es gibt 99,9% "ordentliche" Menschen und 0,1% "böse" Menschen. Und diese 0,1% haben sich zur Aufgabe gemacht, die 99,9% auszunehmen. Logischerweise sind die auch nicht ganz blöd und probieren das zuerst bei denen, die "schwach" erscheinen. Wenn du also eine öffentliche (!!!) Webseite betreibst, dir aber um Sicherheit keine Gedanken machst, bist du "schwach" und somit ein leichtes und einfaches Angriffsziel.

Genau so eine Antwort hatte ich erwartet.

Das "unvermeidlich" bezog sich einerseits darauf, dass mir diese Lösung als erstes eingefallen ist (bevor ich auf die Suche nach Lösungen mit den str_schlagmichtot-Funktionen gegangen bin); und andererseits darauf, dass man so eine Lösung wohl von mir erwartet (hätte).

Das lernt man mit der Zeit. Der RegEx ist doch eigentlich ganz simpel: Ein bisschen Patternmatching -- keinmal bis vielmal ein fast beliebiges Zeichen außer "|" und danach ein "|" -- und davor eine Verankerung am Stringanfang "\A".

Aber nur durchs Dranrumfummeln lernt man, wie sie funktionieren.

Ganz offensichtlich nicht, denn es liefert ein Array zurück, wir wollten doch aber mit echo eine Zeichenkette ausgeben, oder hab ich was übersehen?

Das es sicher schneller als preg_split() ist, ist eine andere Sache.

Schön, dass du die Pauschalaussage mit "i.a.R." abgeschwächt hast.


Ich hab das jetzt mal durchgetestet:
Die Variante mit preg_replace() läuft im Schnitt ca. 30 Prozent langsamer als die mit explode(). Kostenintensiv ist was anderes.

Kommen wir nun von der Geschwindigkeit zur Schönheit. Die liegt bekanntlich im Auge des Betrachters und ist daher schwerer messbar ... :-P

Ich habe mal die schon gegebenen Vorschläge eingearbeitet:

So in etwa würde ich das machen. Es gibt da sicher immer noch Verbesserungsmöglichkeiten, aber um die umzusetzen, müsste man mehr über das gesamte Script wissen. Was mir vor allem nicht gefällt, sind die ganzen festverdrahteten Zeichenketten. Wer sowas mal an andere Dateinamen, Pfade oder CGI-Parameter anpassen muss, darf fleißig das ganze Script umkrempeln. Viele (Quelltext-)Editoren bieten zu diesem Zweck in ihren Search-n-Replace-Dialogen übrigens Reguläre Ausdrücke an. Auf diese Weise kann man die auch üben.

Offenes Auge? Oder meintest du eher ein offenes Ohr?
Naja, immer noch besser als ein offenes Bein ...

Ganz zum Anfang des Threads hiess es:
Das mit dem Array kam hier höchstvermutlich daher, dass es schon explode genutzt wurde - aber eigentliches Anliegen wahr wohl, von einer vorliegenden Zeile nur den Rest ab einer bestimmten Position auszugeben.

Und je nachdem, wie einfach diese Position bestimmbar ist, wären hier weder RegEx noch explode meine erste Wahl, sondern simple Zeihenkettenfunktionen (wie strpos und substr).

Zitat: Was macht ihr da an stelle von PHP_SELF ?

Da wollte ich nochmal nachhacken:
Soviel ich weiß ist das nicht valide, ausserdem ist das doch genau so gefährlich als vorher, ainschläußen kann man dort auch fremden code, oder?

<a href="">Link</a>
<a href="#">Link</a>
Beide varianten sind laut w3c in xhtml nicht zuläßig, ein link muß auch eine eindeutige linkadresse beinhalten!

Wo hast du denn die Info her?
Ein leeres href/action-Attribut wird automatisch zur Adresse, von der das Dokument angefordert wurde, aufgelöst.
Wo soll denn etwas eingeschleust werden, wenn gar nichts ausgegeben wird?

Hast du verstanden, worauf XSS beruht ...?


(Davon abgesehen verstehe ich die Panik, die einige hier machen, was Werte wie PHP_SELF, REQUEST_URI etc. angeht, nicht.
Vernünftig kontextgerecht behandelt stellt keiner davon eine XS-Gefahr dar.)

Was ist da nicht valide?
Das action oder href Attribut MUSS vorhanden sein, aber es darf leer bleiben!

Dann aber nicht mehr über PHP_SELF.
Besser eine Tür mehr zu, als eine mehr offen.

Nach entsprechnder Ausbildung, bei bestimmungsgemäßer Anwendung und mit richtiger Schutzkleidung ist eine 70cm 3.8PS Kettensäge auch recht ungefährlich.
Aber das alles ist bei RamonaS offensichtlich nicht gegeben.