✔ Was bedeutet dieses Code-Stück

[Kalma]

Hey,
ich habe aus meinem Buch ein Listing zum Testen kopiert, und mir auch mal den Code angeguckt. In dem Login Script stand eine solche Schreibweise beim Übergeben der Variablen, von der ich nicht weiß, was sie zu bedeuten hat:

$username = $_POST['username'] ? $_POST['username'] : false;
$password = $_POST['password'] ? $_POST['password'] : false;

Ich verstehe den hinteren Teil nicht:

? $_POST['username'] : false;
? $_POST['password'] : false;

Wär cool, wenn mir das jemand erklären könnte

David

 

[Flex]

Das ist der sogenannte ternäre Operator und vom Code her genauso wie eine If Bedingung

$username = $_POST['username'] ? $_POST['username'] : false;

# Genau das gleiche ist:
if($_POST['username']) {
  $username = $_POST['username'];
} else {
  $username = false;
}

Siehe auch hier:
http://de3.php.net/manual/de/language.operators.comparison.php

 

[daddz]

Trinitäts-Operator

greetz
daddz

 

[andreasst]

eine Abkürzung für eine if Bedingung
ergebnis = bedingung ? WertwennBedingungWahr : WertwennBedingungFalsch

 

[Kalma]

Danke für die schnellen Antworten.

So, dieses Script ist es, aus dem ich diesen Code-Teil habe:

<?php
  /* Session initialisieren */
  session_start();
  
  /* übergebene Variablen auslesen */
  $username = $_POST['username'] ? $_POST['username'] : false;
  $password = $_POST['password'] ? $_POST['password'] : false;

  if($username && $password)
  {
    /* verschlüsseltes Passwort erzeugen */
    $encrypted = md5($username,$password);  
    
    include('../inc/database.inc.php');
    $connection = mysql_connect($db['host'],$db['uid'],$db['pwd']);
    if($connection)
    {
      if(mysql_select_db($db['db']))
      {
        $sql = "SELECT id FROM user WHERE (username = '$username') AND (password = '$encrypted') AND (active = 'true')";
        $result = mysql_query($sql);
        if($result && (@mysql_num_rows($result) > 0))
        {
          $row = mysql_fetch_row($result);
          $_SESSION['authenticated'] = true;
          $_SESSION['user_id'] = $row[0];
          $_SESSION['username'] = $username;
        }
        else
        {
          $_SESSION['authenticated'] = false;
        }
      }
    }
  }
  
  /* Umleitung */
  header('Location: index.php');
?>

Hat das jetzt im Prinzip nen Vorteil, wenn ich das so schreibe:

  $username = $_POST['username'] ? $_POST['username'] : false;
  $password = $_POST['password'] ? $_POST['password'] : false;

und nicht so:

  $username = $_POST['username'];
  $password = $_POST['password'];

MfG
David

 

[mAu]

Was ist denn das für ein Buch... tztztz. Erstens sollte man Daten die vom benutzer kommen nie ungeprüft an die Datenbank weitergeben (Stichwort: SQL-Injektion), zweitens sollte man prüfen, ob die (in diesem Fall $_POST-)Variable überhaput existiert. Der "Vorteil" bei der Version ist, dass wenn der User kein Passwort oder Usernamen eingegeben hat, der Login-Vorgang gar nicht durchgeführt wird, sondern gleich mittels [phpf]header[/phpf] auf die index.php weitergeleitet wird...

<?php
  /* Session initialisieren */
  session_start();
  
  /* übergebene Variablen auslesen */
  $username = isset($_POST['username']) ? trim($_POST['username']) : false;
  $password = isset($_POST['password']) ? trim($_POST['password']) : false;

  // Wenn Username und Passwort gesetzt (ungleich false), dann führe Login durch...
  if($username !== false && $password !== false)
  {
    /* verschlüsseltes Passwort erzeugen */
    $encrypted = md5($username,$password);  
    
    include('../inc/database.inc.php');
    $connection = mysql_connect($db['host'],$db['uid'],$db['pwd']);
    if($connection)
    {
      if(mysql_select_db($db['db']))
      {
        $sql = "SELECT id FROM user WHERE (username = '".mysql_real_escape_string($username)."') AND (password = '".mysql_real_escape_string($encrypted)."') AND (active = 'true')";
        $result = mysql_query($sql);
        if($result && (@mysql_num_rows($result) > 0))
        {
          $row = mysql_fetch_row($result);
          $_SESSION['authenticated'] = true;
          $_SESSION['user_id'] = $row[0];
          $_SESSION['username'] = $username;
        }
        else
        {
          $_SESSION['authenticated'] = false;
        }
      }
    }
  }
  
  /* Umleitung */
  header('Location: index.php');
?>

 

[Kalma]

Hey,

Was ist denn das für ein Buch... tztztz. Erstens sollte man Daten die vom benutzer kommen nie ungeprüft an die Datenbank weitergeben (Stichwort: SQL-Injektion), zweitens sollte man prüfen, ob die (in diesem Fall $_POST-)Variable überhaput existiert.

Das ist das ziemlich bestbewertete Buch, auf jeden Fall bei Amazon^^...

Das war ja jetzt auch nix, was man wirklich einsetzen kann, nur son Beispiel.


Aber danke

David

 

[mAu]

[...]
Das war ja jetzt auch nix, was man wirklich einsetzen kann, nur son Beispiel.

Aber danke
David

Ja und? Gerade ein Buch für Einsteiger sollte über solche Sicherheitslöcher aufklären!

 

[Admi]

Den Code kenne ich Das dürfte die Login.php des Minicms von "Webseiten programmieren und gestalten" sein.
Lösung gabs ja schon...

 

[Kalma]

@mAu: Is kein Anfänger buch

@Admi: Genau^^