Tekst forsvinner ved feil valideringskode

[ninaelise]

Jeg har endelig lært meg å lage validering på gjestebok. Men nå har jeg problemer med at teksten som er skrevet i feltene forsvinner hvis man skal legge inn ny melding og skriver feil valideringskode.

 

Er det noen her som vet/har tips til hvordan jeg kan ordne dette?

Driver med dette litt på hobbybasis, så jeg er ikke så veldig dreven.

 

Blir veldig glad om noen kan/vil hjelpe meg med dette

 

En av sidene jeg har gjestebok på er denne.

 

Mvh

 

Nina Elise

Endret 16. juli 2006 av ninaelise

[Atch]

Jeg mener ikke å være kjip, men dere har skrivefeil i nettadressen deres:

 

* Galt

* Riktig

 

Lykke til med gjesteboka

[ninaelise]

Jeg mener ikke å være kjip, men dere har skrivefeil i nettadressen deres:

 

* Galt

* Riktig

 

Lykke til med gjesteboka

6503137[/snapback]

 

Hehe, det er vi fullt klar over

[trrunde]

Når du skriver at koden er feil så skriver du gjestebok skjemaet ut slik:

<input type="text" name="navn" value="<?php echo $_POST['navn']; ?> ">

 

Bør ihvertfall virke....

[ninaelise]

Takk for svar

 

Det virker, men jeg får et default laget space på feltene.

 

Men det virker ikke på meldingsfeltet som ser slik ut:

<textarea cols="40" rows="6" name="melding" value="<?php echo $_POST['melding']; ?> "></textarea>

 

Er det noe jeg gjør feil, eller er det rett og slett ikke mulig å gjøre det i et textarea?

Endret 17. juli 2006 av ninaelise

[Ernie]

<textarea cols="40" rows="6" name="melding"><?php echo $_POST['melding']; ?></textarea>

[ninaelise]

Takk takk

 

Da var det bare det spacet som kommer som jeg må finne en løsning på...

 

Tester forøvrig på denne siden...

[xqus]

For guds skyld:

<input type="text" name="navn" value="<?php echo $_POST['navn']; ?> ">

Er ca det samme som å invitere alle scriptkiddies til å gå løs på siden.

 

 

Jeg ville heller gjort noe slik:

<input type="text" name="navn" value="<?php echo htmlentities($_POST['navn']); ?> ">

[ninaelise]

Vil det si at teksten som er skrevet er det eneste som kan komme opp ved tasting av feil kode?

 

Jeg kan ikke så veldig mye om sånt, så jeg bare spør

 

Men er det noen som vet hvordan jeg får bort default space som kommer?

[Ernie]

For guds skyld:

<input type="text" name="navn" value="<?php echo $_POST['navn']; ?> ">

Er ca det samme som å invitere alle scriptkiddies til å gå løs på siden.

 

 

Jeg ville heller gjort noe slik:

<input type="text" name="navn" value="<?php echo htmlentities($_POST['navn']); ?> ">

6508172[/snapback]

... og hva i gudenes navn skal man klare å utrette? Lure seg selv? Greit nok når det skal skrives til DB, men når man har skrevet inn feil valideringskode (dvs. viser det man selv har skrevet inn)? Den må du nesten utdype.

Endret 17. juli 2006 av Ernie

[stian90_2]

kan han ikke avslutte php stringen ? slik at han havner rett i koden ?

[Ernie]

kan han ikke avslutte php stringen ? slik at han havner rett i koden ?

6513410[/snapback]

nope

[trrunde]

For guds skyld:

<input type="text" name="navn" value="<?php echo $_POST['navn']; ?> ">

Er ca det samme som å invitere alle scriptkiddies til å gå løs på siden.

 

 

Jeg ville heller gjort noe slik:

<input type="text" name="navn" value="<?php echo htmlentities($_POST['navn']); ?> ">

6508172[/snapback]

 

 

Vil du forklare hva de kan gjøre når du ikke har på htmlentities()?

[xqus]

Jeg kan lese dine cookies fra siden, og sende de til meg. Deretter hijacker jeg din sesjon. Ikke vet jeg om jeg kan tømme kontoen din da, tviler på det. Men det handler rett og slett å kode med vett, slik at man lærer de gode vanene fra starten av. For har man lært seg til en uvane, så er det ikke spesielt lett å bli kvitt den.

 

http://en.wikipedia.org/wiki/XSS

[ZoRaC]

xqus:

Hvordan har du tenkt å gjøre det?

Jeg kan vel putte akkurat hva jeg vil i et <input type="text"> felt uten at det gjør noen skade, så lenge jeg sikrer det før jeg bruker det mot en database/mail eller lignende? Om man slenger inn javascript der som sender meg cookien, så har vel ikke det noen betydning, da det er min egen cookie jeg da får tak i?

 

Kjenner ikke til XSS så godt, så er ikke 100% sikker her...

[xqus]

Jeg vet at dette høres overdrevent paranoid ut, men det koster så lite, og man vil vel ikke at brukere av siden sin skal få stjålet sine kontoer pga. han som programmerte siden var litt lat?

 

La oss si du logger deg inn på siden med ditt brukernavn og passord. Du krysser av for "lagre brukernavn og passord til neste gang". Flott.

Deretter sender jeg deg en mail/du går inn på en side eller noe, og ser en link til din favoritt side (som du er logget inn på, fra sist gang). Denne linken ber nettleseren din sende med en hel del post data som den da gjør, blandt dette er javascriptet som leser dine cookies og sender de til et php script på min server. Jeg har da dine cookies. Og da er det jo bare for meg å legge inn disse i min nettleser, og gå inn på siden.

 

Det er jo ikke spesielt koselig?

[ZoRaC]

Vet det, men her er det jo snakk om "value" i et tekst-felt.

Hva som står i dette tekst-feltet er da vel likegyldig?

 

Men, er seff enig i "bedre føre var"

[xqus]

Vel, "> vil jo avslutte teskfeltet, vil det ikke?

 

<input type="text" value"">minkode<">

[ZoRaC]

Jo, men om jeg har side1.php (pseudokode):

if ($valid) // gjør dette
else { // Vis formen på nytt
<form action="$PHP_SELF" method="POST">
<input type="text" name="felt1" value="$_POST['felt1']">
<input type="submit">
</form>
}

 

Dette er vel ikke noe "farlig"?

Er jo jeg selv som fyller ut "felt1"?

[xqus]

Les post 16 en gang til.