Hinweis: Dies ist sicherheitstechnisch eine sehr bedenkliche Vorgehensweise und sollte auch nicht (vor allem im Produktivsystem) eingesetzt werden!
Ich hatte das leidige Thema aus einem Formular alle POST-Variablen in verwendbare Variablen umzuspeichern:
$rechnernummer = $_POST['rechnernummer']; $monitor_nr = $_POST['monitor_nr']; $externe_ip = $_POST['externe_ip']; $ipnummer = $_POST['ipnummer']; $zertifikat = $_POST['zertifikat']; $passwort = $_POST['passwort']; $macadresse = $_POST['macadresse']; $orts_id = $_POST['orts_id']; $verwendungs_id = $_POST['verwendungs_id']; $bereichs_id = $_POST['bereichs_id']; $seriennummer = $_POST['seriennummer']; $bemerkung = $_POST['bemerkung'];
Dies ist natürlich alles andere als dynamisch und sparsamer Code.
Daher habe ich mich nach einer besseren Alternative umgeschaut und bin dabei auf folgendes gestoßen:
foreach($_POST as $k=>$v) $$k=$v;
Dieser Einzeiler macht genau das, was ich gesucht habe.
Hinweis: Aus Sicherheitsgründen ist es ratsam, dass alles, was per POST verschickt wird, erst validiert werden sollte, bevor ihr es blind (wie in meinem Beispiel) weiterverwendet.
PHP, MySQL, Wordpress - Ein Tutorial-Blog 
16. Juli 2010 um 7:59 pm
Diese Lösung gefällt mir absolut nicht. Deine alte Lösung fand ich besser. In der foreach-Lösung würden die Variablennamen und Daten ungefiltert übernommen.
Siehe auch:
http://www.cms-sicherheit.de/module-blog-viewpub-tid-1-pid-10.html
Variable Variablennamen verschlechtern ein Programm im allgemeinen, da es an Wartbarkeit verliert und gerade die Variablennamen für außenstehende nicht auf einen Blick erkennbar sind. Was Du an Code-Zeilen einsparst, müsstest Du an Kommentaren zum entsprechenden Code wieder mit einfügen. Folgende Lösung wäre auch denkbar:
http://nopaste.us/2367.html
Ich würde jedoch bei Deiner ersten Lösung bleiben. Ist übersichtlicher. Schöner und übersichtlicher wirds, wenn Du die Einrückungen entsprechend machst:
http://nopaste.us/2368.html
16. Juli 2010 um 9:04 pm
Ich verstehe dich voll und ganz.
Soweit es aussieht, bleibe ich der einzige Entwickler bei dem Projekt. Außerdem ist es Firmen-Intern, da kann auch kein Unfug getrieben werden ;)
Aber danke für deine Hinweise!
16. Juli 2010 um 9:52 pm
Nimm doch einfach extract().
16. Juli 2010 um 10:22 pm
Damit hast du quasi „register_globals“ nachgebaut, und es gab einen Grund, warum das abgeschafft wurde.
Mit der PHP-Funktion „extract“ hättest das das sogar noch einfacher und eleganter haben können.
16. Juli 2010 um 11:09 pm
Was du suchst ist die wenig beachtete PHP-Funktion extract. extract($_POST) macht genau das was man von register_globals her kennt. Was natürlich nichts daran ändert dass es eine ganz schön unsaubere und unsichere Praxis ist ;-)
http://de.php.net/extract
17. Juli 2010 um 8:47 am
Ah danke, die Funktion kannte ich noch nicht.
Ich verstehe nur nicht, was daran so unsicher sein soll bzw. was gefährlich ist.
17. Juli 2010 um 9:09 am
stell dir vor, du vergisst irgendwo eine variable zu initialisieren, zb ein leeres array. Willst du dass sie dann jeder via post oder get nach lust und laune befüllen kann? Dazu kommt dass die werte, die du haben willst vor weiterverarbeitung ohnehin validiert werden sollten, um sql injection und andere gemeinheiten zu verhindern. Don’t trust any user input ist ein grundsatz der einfach niemals vernachlässigt werden darf.
17. Juli 2010 um 1:58 pm
Mit diesem Beitrag disqualifiziert du dich als „Tutorial-Blog“. Und weil eine Lösung nur Intern verwendet wird, wie du ja schreibst, muss sie doch nicht schlecht geschrieben werden?
18. Juli 2010 um 6:22 pm
Ok, danke Jungs. :-)
Ich werde einen entsprechenden Hinweis in dem Beitrag oben ergänzen.
19. Juli 2010 um 7:33 am
Sowas sollte aus jedem Code sofort gestrichen werden, den Mensch sieht und der verantwortliche Entwickler sollte zumindest an den Pranger.
Wenn es nicht einen wirklich, wirklich (!), _wirklich_ wichtigen (!!!) Grund gibt, sowas einmal (!) einzusetzen, dann sollte Mensch es nicht machen, da es ganz böse Sicherheitsprobleme geben kann (und wird, wenn es einer weiß).
Du kannst mit so einem Konstrukt einfach per POST alle Variablen übergeben und dein Code würde diese auch gültig auswerten.
Bei so einem Konstrukt musst du erst noch prüfen, ob nur alle POST-Daten ankommen, die auch erlaubt sind und keine mehr. Du kommst also um eine Prüfung nicht rum.
Jemand, der so einen Code ernsthaft in ein Produktivsystem schreibt, gehört gefeuert und öffentlich angeprangert. Der sollte sich wirklich überlegen, ob Programmierung für ihn wirklich in Frage kommt. Sorry, aber das ist so ein Brandgefährliches Thema, da kann man gar nicht genug vor warnen.
Kids: Don’t try this at home!!!
19. Juli 2010 um 9:28 am
Hallo Sascha, auch dir danke für deine Meinung. Ich belasse den Artikel trotzdem hier im Blog und habe bereits einen Sicherheitshinweis hinzugefügt.
19. Juli 2010 um 9:42 am
Mal schauen wann ich die ersten gotos in einem Produktivsystem sehe, weil tolle Tutorials es als schnellen fix ansehen….
http://de.php.net/goto
man beachte den beigelegten Comic
19. Juli 2010 um 9:44 am
Warum nicht in die Schleife wenigsten noch ein simples mysql_real_escape_string() einbauen?
Das wär keine vollständige Prüfung auf korrekte Daten, aber immerhin etwas mehr Sicherheit.
Grüße
2. August 2010 um 8:45 am
Hallo Clemens,
mysql_real_escape_string() geht nur, wenn Du ein Mysql Verbindung offen hast. Sonst bekommst Du eine Warnung. Ich würde htmlspecialchars() verwenden und vorher strip_tags() zum entfernen der HTML Zeichen. Danach hast Du alle Sonderzeichen in Html Code. Wenn Du die Daten in einer Mysql Datenbank speichern möchtest, dann musst Du natürlich mysql_real_escape_string() verwenden.
Mal zu den Beispiel von maTTes, sowas würde ich nur für Scripte verwenden, wenn sicher gestellt werden kann, das keine Manipulation von aussen vorkommt.
Grüße Nico