---

Jeg arbejder lidt med et funktionelt bogmærke. Bogmærket skal automatisk
logge en ind i et administrationsmodul.

<a href
="javascript:document.write('<html><head><title>SimpleUpdate</title></head><body><form
action=\'http://www.legestue.net/websites/admin/login.php\'
method=\'post\'><input name=\'login\' type=\'hidden\'
value=\'usenet@legestue.net\' /><input name=\'password\' type=\'hidden\'
value=\'usenet\' /><input name=\'referer\' type=\'hidden\' value=\'' +
window.location.href + '\'
/></form></body></html>');document.forms[0].submit();">SimpleUpdate
(beta - giver kun adgang til testsitet)</a>

Problemet er, at bogmærket ikke validerer, fordi det indeholder html,
head osv. Kan man gøre det på en anden måde og lige så godt.

Er bogmærket i øvrigt ordentligt udformet? Det skal virke i DOM-browsere
- og behøver ikke nødvendigvis virke i ældre browsere, hvis det kræver
ekstra konditioner mv.?

--
Lars Olesen
Konkurrence på <http://www.fodboldenslegestue.dk>
Kan det gøres bedre? Navigation og brugervenlighed!

---

Lars Olesen wrote:
> Jeg arbejder lidt med et funktionelt bogmærke. Bogmærket skal automatisk
> logge en ind i et administrationsmodul.
>
> <a href
> ="javascript:document.write('<html><head><title>SimpleUpdate</title></head><body><form
> action=\'http://www.legestue.net/websites/admin/login.php\'
> method=\'post\'><input name=\'login\' type=\'hidden\'
> value=\'usenet@legestue.net\' /><input name=\'password\' type=\'hidden\'
> value=\'usenet\' /><input name=\'referer\' type=\'hidden\' value=\'' +
> window.location.href + '\'
> /></form></body></html>');document.forms[0].submit();">SimpleUpdate
> (beta - giver kun adgang til testsitet)</a>
>
> Problemet er, at bogmærket ikke validerer, fordi det indeholder html,
> head osv. Kan man gøre det på en anden måde og lige så godt.
>

Du skal bare benytte &lt; og &gt; istedet for < og >. Men det er jo
egentlig ikke vigtigt at det validere, når det ligger som et bookmark.

Du kunne jo også lave dit login PHP-script så den tog imod URL
parametere, så kunne du bare bookmarke en url med password og login[1].
Om du bruger post eller get er sikkerhedsmæssigt lige fedt.

[1] <OT>burde login ikke være username?</OT>

Hintzmann c",)

---

Martin Hintzmann Andersen wrote:

> Du skal bare benytte &lt; og &gt; istedet for < og >. Men det er jo
> egentlig ikke vigtigt at det validere, når det ligger som et bookmark.

Næ, måske ikke, men det ville jo være rart, når man skal kigge på
valideringsresultatet. Og naturligvis skal jeg bare bruge html-entiteter
i stedet for :) Tak for det!

> Du kunne jo også lave dit login PHP-script så den tog imod URL
> parametere, så kunne du bare bookmarke en url med password og login[1].

Den tror jeg ikke helt jeg fik fat i, eller... Du mener altså at jeg
skal sætte formularen til get i stedet, for så kunne jeg bare have
følgende link:

<http://www.something.dk/login.php?username=xxx&password=xxx>

som også ville gøre, at man loggede ind! Men så behøvede man jo slet
ikke mit smarte, smarte funktionelle bogmærke. *snøfter*

> Om du bruger post eller get er sikkerhedsmæssigt lige fedt.

Er det?

> [1] <OT>burde login ikke være username?</OT>

Naturligvis.

--
Lars Olesen
Konkurrence på <http://www.fodboldenslegestue.dk>
Kan det gøres bedre? Navigation og brugervenlighed!

---

Lars Olesen wrote:
>
> Den tror jeg ikke helt jeg fik fat i, eller... Du mener altså at jeg
> skal sætte formularen til get i stedet, for så kunne jeg bare have
> følgende link:
>
> <http://www.something.dk/login.php?username=xxx&password=xxx>
>
> som også ville gøre, at man loggede ind! Men så behøvede man jo slet
> ikke mit smarte, smarte funktionelle bogmærke. *snøfter*
>

Du kan jo stadig godt lege med dit bogmærke, men ovenstående gør det samme.

> > Om du bruger post eller get er sikkerhedsmæssigt lige fedt.
>
> Er det?
>

Post ville måske være mere "sikkert" for en almindelig bruger. Men for
en hacker ville det være lige fedt om du benytter POST eller GET.

Hintzmann c",)

---

Martin Hintzmann Andersen wrote:

> Du kan jo stadig godt lege med dit bogmærke, men ovenstående gør det samme.

Ja, det er jeg med på :) Det var fordi jeg ville have min formular til
at være post - mere af vane end af gavn måske? Den egentlig begrundelse
for et funktionelt bogmærke, var også at jeg ville sende en url med, men
det er jo også unødvendigt, for jeg kan jo bare i php-scriptet bruge
"referer" for at se, hvor brugeren kommer fra (så han måske kan komme
direkte ind og redigere i en side).

> Post ville måske være mere "sikkert" for en almindelig bruger. Men for
> en hacker ville det være lige fedt om du benytter POST eller GET.

Ok. Jeg burde nok lige læse op på, hvad forskellene er. Det er et stykke
tid siden jeg har beskæftiget mig med det. Kan bare huske, at jeg fik
anbefalet at bruge POST!

--
Lars Olesen
Konkurrence på <http://www.fodboldenslegestue.dk>
Kan det gøres bedre? Navigation og brugervenlighed!

---

Lars Olesen wrote:
>
> Ok. Jeg burde nok lige læse op på, hvad forskellene er. Det er et stykke
> tid siden jeg har beskæftiget mig med det. Kan bare huske, at jeg fik
> anbefalet at bruge POST!
>

POST og GET har hver sine fordele og ulemper. Lidt kort så...

I GET er du begrænset af ca. 1000 tegn (eller var det 2000?)
Men med GET kan man f.eks. bookmarke søgning på google. Hvilket er en
fordel.

I POST kan man sende ca. 65000.
Man kan ikke bookmarke en POST

Hintzmann c",)

---

Martin Hintzmann Andersen wrote:

> POST og GET har hver sine fordele og ulemper. Lidt kort så...

Hehe, det var lidt kort :) Men i hvert fald tak for forslaget. Jeg vil
lige tænke lidt videre over, om jeg vil forlange at brugeren laver et
funktionelt bogmærke for at kunne logge hurtigt ind. Tror jeg vælger dit
forslag, for det gør det også brugervenligt, når brugeren har glemt sit
password og vil have sendt det igen, så kan man skrive, at han bare skal
klikke på linket for at logge ind!

--
Lars Olesen
Konkurrence på <http://www.fodboldenslegestue.dk>
Kan det gøres bedre? Navigation og brugervenlighed!

---

Martin Hintzmann Andersen <no@spam.please> writes:

> POST og GET har hver sine fordele og ulemper. Lidt kort så...

Mere vigtigt er at de har forskellige formål:

GET er beregnet til operationer der kun henter informationer på
servern. Man kan bookmarke en GET-operation og udføre den igen,
og det skulle gerne give mening.

POST er beregnet til operationer der ændrer noget på serveren. Man
er ikke interesseret i at den bliver sendt mere end en gang, da det
ikke nødvendigvis giver mening anden gang (fx log-ud, slet fil, eller
en anden operation der ikke giver mening anden gang).


/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
DHTML Death Colors: <URL:http://www.infimum.dk/HTML/rasterTriangleDOM.html>
'Faith without judgement merely degrades the spirit divine.'

---

Lasse Reichstein Nielsen wrote:

> Mere vigtigt er at de har forskellige formål:

[snip formålene]

Ja, det har du naturligvis ret i; derfor passer navnene på dem også ret
godt :) Tak for hjælpen!

Jeg tror jeg dropper mit smarte, smarte funktionelle bogmærke, for
brugeren kan jo bare bogmærke det direkte link til login-formularen!

--
Lars Olesen
Konkurrence på <http://www.fodboldenslegestue.dk>
Kan det gøres bedre? Navigation og brugervenlighed!

---

Lasse Reichstein Nielsen <lrn@hotpop.com> skrev et indlæg
<vfl0fw08.fsf@hotpop.com>:

>Mere vigtigt er at de har forskellige formål:
>
>GET er beregnet til operationer der kun henter informationer på
>servern. Man kan bookmarke en GET-operation og udføre den igen,
>og det skulle gerne give mening.
>
>POST er beregnet til operationer der ændrer noget på serveren. Man
>er ikke interesseret i at den bliver sendt mere end en gang, da det
>ikke nødvendigvis giver mening anden gang (fx log-ud, slet fil, eller
>en anden operation der ikke giver mening anden gang).

Dejlig forklaring - den fik endeligt sat begreberne på plads hos mig.

--
mvh
Jørgen Linde Sørensen
(den anførte mail-adresse er gyldig - - -
- - - i hvert fald da dette indlæg blev postet