[GELÖST] FormBuilder und Variablenübergabe

FKoeln · 01. April 2013 05:36

Hallo,

mit FormBuilder habe ich ein relativ "normales" Kontaktformular erstellt.

Nun möchte ich dieses Formular per Link ansprechen und dabei Werte vorgeben. Im praktischen Beispiel habe ich mehrere Standorte, die im Formular ausgewählt werden können. Mein Ziel ist es nun, einen Link in eine andere Seite einzubinden, der das Formular auf einen dieser Standorte "voreinstellt".

Der Code

Hier klicken, um den Code zum Kopieren zu markieren

<a href="{cms_selflink href='kontakt'&Betreff=Anfrage}">Initiativbewerbung</a>

soll dazu führen, dass das Formular (bzw. die Seite "kontakt") geöffnet wird und dass der Betreff "Anfrage" voreingestellt ist. Leider erhalte ich aber nur eine Fehlermeldung.

Hat jemand eine Idee, wie ich Variablen übergeben kann?

Danke

nicmare · 01. April 2013 10:52

die frage taucht hier im forum häufig auf. ich empfehle es so zu machen:
<a href="{cms_selflink href='kontakt'}?betreff=Anfrage">Initiativbewerbung</a>
und auf der kontaktseite dann der Formbuilder:

Hier klicken, um den Code zum Kopieren zu markieren

{FormBuilder form='kontakt' value_betreff=$smarty.get.betreff}

oder

Hier klicken, um den Code zum Kopieren zu markieren

{FormBuilder form='kontakt' value_fld40=$smarty.get.betreff}

mehr dazu in diesem thread
value_betreff und value_fld40 entsprechend deinem formbuilder setup einpassen. ist jetzt nur ein vorschlag.

wenn du KEIN mod_rewrite benutzt, muss der link so aussehen:
<a href="{cms_selflink href='kontakt'}&betreff=Anfrage">Initiativbewerbung</a>

Beitrag geändert von nicmare (01. April 2013 10:54)

FKoeln · 02. April 2013 00:34

Super,

Danke, das war's. Ich hatte zwar schon die grundsätzliche Umsetzung gefunden, hatte nur nirgends gelesen, dass man das "&" maskieren muss, wenn man kein mod_rewrite einsetzt.

Andynium · 02. April 2013 12:48

nicmare schrieb:

ich empfehle es so zu machen:
<a href="{cms_selflink href='kontakt'}?betreff=Anfrage">Initiativbewerbung</a>

Wenn schon cms_selflink, dann sollte der Tag den Job komplett übernehmen wink - ohne HTML-Smarty-Gemauschel

Hier klicken, um den Code zum Kopieren zu markieren

{cms_selflink page='kontakt' urlparam='?betreff=Anfrage' text='Initiativbewerbung'}

Da gibts den title als Bonus obendrauf ...

nicmare schrieb:

{FormBuilder form='kontakt' value_betreff=$smarty.get.betreff}

Hmm, bei so etwas wird mir immer heiß und kalt zugleich. Wie Jan im anderen Thread bereits darauf hingewiesen hat, enthält die Variable $smarty.get.betreff den ungefilterten (!) $_GET Wert. Smarty hat insoweit keinerlei Filter. Das bedeutet andersherum, dass man sich mit einer derartigen Verwendung der Variable eine gigantische Sicherheitslücke auf die Webseite holt. Wie man hier sieht

https://www.owasp.org/index.php/XSS_Fil … heat_Sheet

lässt sich das relativ einfach ausnutzen und ist für eine Firmenwebseite nicht gerade wünschenwert, wenn die Webseite dann infolge einer Malware-Infektion o.ä. auf Googles schwarzer Liste landet.

FKoeln · 02. April 2013 13:57

Grundsätzlich natürlich richtig, nur fällt mir keine bessere Variante ein, um das zu bewerkstelligen. Evtl. noch über die Session, aber wie das immer so ist, sollen halt schnelle Ergebnisse her...

Oder gibt es in CMSms eine Möglichkeit, Variablen weiterzureichen?

nockenfell · 02. April 2013 14:08

Die Variable kann natürlich auch ausgewertet werden:

Hier klicken, um den Code zum Kopieren zu markieren

{FormBuilder form='kontakt' value_betreff=$smarty.get.betreff|strip_tags}

oder weitere Funktionen können darüber gelassen werden.

nicmare · 02. April 2013 14:50

genau cyberman, wo bleibt dann die sichere alternative? ;-).

@ FKoeln: du kannst es auch mit post machen:
{FormBuilder form='kontakt' value_betreff=$smarty.post.betreff}

Dann muss der vorige link aber aus nem <form> heraus aufgerufen werden.
also

Hier klicken, um den Code zum Kopieren zu markieren

<form method="post" name="formular">
<input type="hidden" name="betreff" value="wert"/>
<input type="submit" value="zum Formular"/>
</form>

Beitrag geändert von nicmare (02. April 2013 14:50)

FKoeln · 03. April 2013 00:31

Per POST wäre sicherlich sinnvoller. Wenn ich es auf die Art versuche, schaffe ich's aber nicht, das Formular aufzurufen, sondern erhalte nur die aktuelle Seite (ist ja auch logisch, weiß ja niemand, auf welcher Seite das Formular zu finden ist).

Ich habe es schon mit "action=..." versucht, was aber kompletter Unsinn war.

Wie rufst Du denn die Seite auf?

Andynium · 03. April 2013 04:41

nockenfell schrieb:

Die Variable kann natürlich auch ausgewertet werden:
Hier klicken, um den Code zum Kopieren zu markieren
{FormBuilder form='kontakt' value_betreff=$smarty.get.betreff|strip_tags}
oder weitere Funktionen können darüber gelassen werden.

http://htmlpurifier.org/comparison#striptags schrieb:

The PHP function striptags() is the classic solution for attempting to clean up HTML. It is also the worst solution, and should be avoided like the plague. The fact that it doesn't validate attributes at all means that anyone can insert an onmouseover='xss();' and exploit your application.
While this can be bandaided with a series of regular expressions that strip out on[event] (you're still vulnerable to XSS and at the mercy of quirky browser behavior), striptags() is fundamentally flawed and should not be used.

hmm

nockenfell · 03. April 2013 05:41

Naja, ein Patentrezept gegen XSS gibt es soweit mir bekannt ist nicht. Schlussendlich müsste man jede einzelne Eingabe des Benutzers entsprechend dem zu erwartenden Wert auswerten.

strip_tags ist die schnellste Lösung die mir eingefallen ist (und die übrigens trotz allem an diversen Orten mangel besser wissens genutzt wird)

nicmare · 03. April 2013 09:42

FKoeln schrieb:

Per POST wäre sicherlich sinnvoller. Wenn ich es auf die Art versuche, schaffe ich's aber nicht, das Formular aufzurufen, sondern erhalte nur die aktuelle Seite (ist ja auch logisch, weiß ja niemand, auf welcher Seite das Formular zu finden ist).
Ich habe es schon mit "action=..." versucht, was aber kompletter Unsinn war.
Wie rufst Du denn die Seite auf?

wieso ist das unsinn. es war ja nur ein denkanstoß. natürlich musst du es entsprechend komplettieren:

Hier klicken, um den Code zum Kopieren zu markieren

<form method="post" name="formular" action="{cms_selflink href=ALIAS}">
<input type="hidden" name="betreff" value="wert"/>
<input type="submit" value="zum Formular"/>
</form>

FKoeln · 03. April 2013 12:48

Anscheinend war ich schon in den Tiefschlaf verfallen.

Ich hatte bei "action" statt href page verwendet, was nicht wirklich funktionierte.

Danke der Tipps bin ich jetzt fertig, Danke euch allen.

Andynium · 03. April 2013 15:56

nicmare schrieb:

@ FKoeln: du kannst es auch mit post machen:
{FormBuilder form='kontakt' value_betreff=$smarty.post.betreff}

Wer so bösartig ist, GET Parameter zu manipulieren, hat auch garantiert das FF Plugin Tamperdata

http://tamperdata.mozdev.org/

in seiner Werkzeugkiste, womit die Manipulation von HiddenFields genau so einfach und damit unsicher ist wie GET sad .

faglork · 02. April 2014 17:57

Und das heisst jetzt was? Dass es keine Lösung gibt?

Wie macht das denn der Rest der Welt?

BTW: Folgendes Problem: Wenn ich das so ausführe wie oben beschrieben, dann passiert folgendes: Wenn der User vergisst ein Pflichtfeld auszufüllen wird ja die Form nochmals aufgerufen. Diesesmal aber leider ohne einen Post-Parameter, und damit hat sichs dann: Es gibt keinen Parameter mehr zum Übergeben.

Ausserdem funzt es eh nicht, wenn ich
{FormBuilder form='anfrage' value_fld53=$smarty.post.objekt|strip_tags}
einfüge. Feld 53 ist ein hidden field, wird auch alles wunderbar übergeben, nur ... wenn ich auf Absenden klicke tut sich nichts ... klick ich nochmals auf absenden, wird versandt, aber natürlich ohne den Post-Parameter ...

Wat nu?

EDIT: {FormBuilder form='anfrage' value_fld53='Meine Anfrage'}
lässt sich absenden, aber in der Mail steht objekt: Array und nicht objekt: Meine Anfrage

WTF?

Servus,
Alex

Beitrag geändert von faglork (02. April 2014 19:36)

NaN · 03. April 2014 09:29

Anstelle von strip_tags kann man doch auch einfach nur die gute alte PHP Funktion htmlentities() verwenden, oder?

Hier klicken, um den Code zum Kopieren zu markieren

{FormBuilder form='anfrage' value_fld53=$smarty.post.objekt|htmlentities}

Oder htmlspecialchars

Hier klicken, um den Code zum Kopieren zu markieren

{FormBuilder form='anfrage' value_fld53=$smarty.post.objekt|htmlspecialchars}

Oder oder oder (smarty bietet doch da ein paar Modifikatoren zum "escapen").

Wenn der User vergisst ein Pflichtfeld auszufüllen wird ja die Form nochmals aufgerufen. Diesesmal aber leider ohne einen Post-Parameter, und damit hat sichs dann: Es gibt keinen Parameter mehr zum Übergeben.

Aber es wird doch bestimmt der "Submit-Button" übergeben, oder?
Also vorher prüfen, ob das Formular bereits abgesendet wurde.
z.B. mit

Hier klicken, um den Code zum Kopieren zu markieren

{if isset($smarty.post.submit)} ...

Wobei "submit" hier noch id ID der Formbuilder-Instanz benötigt ...
Wenn ja, den Formbuilder ganz normal aufrufen.
Wenn nicht, dann mit den POST-Parametern aus der vorherigen Seite.
(nur ne Idee)

Ausserdem funzt es eh nicht

Wie sieht denn das Formular aus, nachdem man auf den Link zum Formular geklickt hat? (also der HTML-Code)

aber in der Mail steht objekt: Array und nicht objekt: Meine Anfrage

Wie sieht das E-Mail Template an dieser Stelle aus?

faglork · 03. April 2014 13:15

NaN schrieb:

Anstelle von strip_tags kann man doch auch einfach nur die gute alte PHP Funktion htmlentities() verwenden, oder?
Hier klicken, um den Code zum Kopieren zu markieren
{FormBuilder form='anfrage' value_fld53=$smarty.post.objekt|htmlentities}
Oder htmlspecialchars
Hier klicken, um den Code zum Kopieren zu markieren
{FormBuilder form='anfrage' value_fld53=$smarty.post.objekt|htmlspecialchars}
Oder oder oder (smarty bietet doch da ein paar Modifikatoren zum "escapen").

Es funzt auch ohne die escaperei nicht ...

NaN schrieb:

Wenn der User vergisst ein Pflichtfeld auszufüllen wird ja die Form nochmals aufgerufen. Diesesmal aber leider ohne einen Post-Parameter, und damit hat sichs dann: Es gibt keinen Parameter mehr zum Übergeben.
Aber es wird doch bestimmt der "Submit-Button" übergeben, oder?
Also vorher prüfen, ob das Formular bereits abgesendet wurde.
z.B. mit
Hier klicken, um den Code zum Kopieren zu markieren
{if isset($smarty.post.submit)} ...
Wobei "submit" hier noch id ID der Formbuilder-Instanz benötigt ...
Wenn ja, den Formbuilder ganz normal aufrufen.
Wenn nicht, dann mit den POST-Parametern aus der vorherigen Seite.
(nur ne Idee)

Naja, da muss ich aber dann die Fehlerbehandlung von FormBuilder umbauen :-(

NaN schrieb:

Ausserdem funzt es eh nicht
Wie sieht denn das Formular aus, nachdem man auf den Link zum Formular geklickt hat? (also der HTML-Code)

{FormBuilder form='anfrage' value_fld53=$smarty.post.objekt}
ergibt folgenden code:

Hier klicken, um den Code zum Kopieren zu markieren

[== html ==]
<form id="m3e69bmoduleform_2" method="post" action="http://medicconsulting.info/praxisboerse/anfrage.html" class="cms_form" enctype="multipart/form-data"> <div class="hidden"> <input type="hidden" name="mact" value="FormBuilder,m3e69b,default,1" /> <input type="hidden" name="m3e69breturnid" value="74" /> <input type="hidden" name="page" value="74" /> <input type="hidden" name="m3e69bfbrp_callcount" value="1" /> </div>  	<div><input type="hidden" id="m3e69bform_id" name="m3e69bform_id" value="5" /> <input type="hidden" id="m3e69bfbrp_continue" name="m3e69bfbrp_continue" value="2" /> <input type="hidden" id="m3e69bfbrp_done" name="m3e69bfbrp_done" value="1" /> </div> 	<div class="stdform"> 	 						<div><h2>Anfrage-Formular</h2> <p>Füllen Sie einfach die Felder des Formulars aus und klicken Sie auf "Anfrage absenden". Hinweis: Felder die mit einem * gekennzeichnet sind *müssen* ausgefüllt werden.</p></div>											<div class="required"><label for="fbrp__43">Anfrage*</label><textarea name="m3e69bfbrp__43" cols="80" rows="15" class="cms_textarea" id="fbrp__43"></textarea></div>								<div class="required"><label for="fbrp__44">Name*</label><input type="text" name="m3e69bfbrp__44" value="" size="25" maxlength="128"  id="fbrp__44" /> </div>								<div><label for="fbrp__45">PLZ / Ort</label><input type="text" name="m3e69bfbrp__45" value="" size="25" maxlength="80"   id="fbrp__45" /> </div>								<div><label for="fbrp__46">Adresse</label><input type="text" name="m3e69bfbrp__46" value="" size="25" maxlength="80"   id="fbrp__46" /> </div>								<div><label for="fbrp__47">Land</label><input type="text" name="m3e69bfbrp__47" value="" size="25" maxlength="80"   id="fbrp__47" /> </div>								<div><label for="fbrp__48">E-Mail</label><input type="email" name="m3e69bfbrp__48" value="" size="25" maxlength="128"  id="fbrp__48" /> </div>								<div class="required"><label for="fbrp__49">Telefon*</label><input type="text" name="m3e69bfbrp__49" value="" size="25" maxlength="80"   id="fbrp__49" /> </div>								<div><label for="fbrp__50">Mobil</label><input type="text" name="m3e69bfbrp__50" value="" size="25" maxlength="80"   id="fbrp__50" /> </div>								<div><label for="fbrp__51">Telefax</label><input type="text" name="m3e69bfbrp__51" value="" size="25" maxlength="80"   id="fbrp__51" /> </div>								<div><label for="fbrp__52">Rückruf erbeten</label><input type="checkbox" class="cms_checkbox" name="m3e69bfbrp__52" value="t"  id="fbrp__52" /> &nbsp;<a href="javascript:fbht('fbrp_ht_52')"><img src="modules/FormBuilder/images/info-small.gif" alt="Help" /></a><span id="fbrp_ht_52" style="display:none" class="fbr_helptext">Sollen wir Sie zurückrufen, statt auf die E-Mail zu antworten?</span></div>								<input type="hidden" name="m3e69bfbrp__53" value="Fachpraxis: Nr. 1" id="fbrp__53" />					<div class="submit"><input class="cms_submit fbsubmit" name="m3e69bfbrp_submit" id="m3e69bfbrp_submit" value="Anfrage absenden" type="submit"  /></div> 	</div> 	</form>

Das Feld 53 wird korrekt mit dem Post-Parameter gefüllt. Nur Absenden lässt sich das Formular nicht - bei Klick auf Absenden passiert nix, alle Felder sind dann leer. Natürlich auch das hidden Field 53 ...

NaN schrieb:

aber in der Mail steht objekt: Array und nicht objekt: Meine Anfrage
Wie sieht das E-Mail Template an dieser Stelle aus?

HTML in der Form:
<input name="m8a3f5fbrp__53" value="Meine Anfrage" id="fbrp__53" type="hidden">

EMail-Template
{if $fld_53 != "" && $fld_53 != "(nicht angegeben)" }objekt: {$fld_53}{/if}

ergibt in der Mail:
objekt: Array

Servus,
Alex

Beitrag geändert von faglork (03. April 2014 13:21)

faglork · 04. April 2014 15:37

Es ist zum Mäusemelken!

Das hidden field hat in FormBuilder die ID 53 und den Wert "Fachpraxis"

{FormBuilder form='anfrage'}

--> hidden field wird in der form korrekt erstellt, ergibt in der E-Mail als Wert "Fachpraxis"

{FormBuilder form='anfrage' value_fld53='Testinhalt'}

--> hidden field wird in der form korrekt erstellt, ergibt in der E-Mail als Wert "Array"

Die jeweiligen HTML-Formulare sind IDENTISCH, bis auf den unterschiedlichen Wert von Feld 53 ...

Servus,
Alex

Andynium · 04. April 2014 17:02

Schau doch einfach mal nach, was in dem Array drin ist.

faglork · 04. April 2014 17:38

In dem Array steht der per Modulaufruf übergebene Parameter zweimal drin.

{FormBuilder form='anfrage' value_fld53='Testinhalt'}

überschriebt den Inhalt des hidden fields korrekt, aber beim Absenden des Formulars wird daraus ein Array, welches den selben Wert zweimal enthält.

Grund: Die entsprechende Schleife im Sourcecode wird zweimal durchlaufen --> das ist ein Bug.

Workaround: im E-Mail-Template einfach das erste Element des Arrays ansprechen,

also nicht

{if $fld_41 != ""} Wert: {$fld_41}{/if}

sondern

{if $fld_41 != ""} Wert: {$fld_41[0]}{/if}

Funzt.

Jetzt muss ich nur noch das mit dem POST Parameter lösen:

{FormBuilder form='anfrage' value_fld53=$smarty.post.pbanfrage}

ergibt zwar eine korrekte Form, aber Formbuilder wird beim Absenden offenbar nicht aufgerufen. Stattdessen wird einfach die Formularseite nochmals aufgerufen (ohne Verarbeitung der Form!), wobei natürlich alle Form-Parameter verloren gehen.

aaaargh ...

Servus,
Alex

Beitrag geändert von faglork (04. April 2014 17:50)

faglork · 05. April 2014 11:39

Habe einen neuen Thread eröffnet, da dieser ja als GELÖST markiert ist:
http://www.cmsmadesimple.de/forum/viewt … 472#p30472

Servus,
Alex

Forum für CMS/made simple

#1 01. April 2013 05:36

[GELÖST] FormBuilder und Variablenübergabe

#2 01. April 2013 10:52

Re: [GELÖST] FormBuilder und Variablenübergabe

#3 02. April 2013 00:34

Re: [GELÖST] FormBuilder und Variablenübergabe

#4 02. April 2013 12:48

Re: [GELÖST] FormBuilder und Variablenübergabe

#5 02. April 2013 13:57

Re: [GELÖST] FormBuilder und Variablenübergabe

#6 02. April 2013 14:08

Re: [GELÖST] FormBuilder und Variablenübergabe

#7 02. April 2013 14:50

Re: [GELÖST] FormBuilder und Variablenübergabe

#8 03. April 2013 00:31

Re: [GELÖST] FormBuilder und Variablenübergabe

#9 03. April 2013 04:41

Re: [GELÖST] FormBuilder und Variablenübergabe

#10 03. April 2013 05:41

Re: [GELÖST] FormBuilder und Variablenübergabe

#11 03. April 2013 09:42

Re: [GELÖST] FormBuilder und Variablenübergabe

#12 03. April 2013 12:48

Re: [GELÖST] FormBuilder und Variablenübergabe

#13 03. April 2013 15:56

Re: [GELÖST] FormBuilder und Variablenübergabe

#14 02. April 2014 17:57

Re: [GELÖST] FormBuilder und Variablenübergabe

#15 03. April 2014 09:29

Re: [GELÖST] FormBuilder und Variablenübergabe

#16 03. April 2014 13:15

Re: [GELÖST] FormBuilder und Variablenübergabe

#17 04. April 2014 15:37

Re: [GELÖST] FormBuilder und Variablenübergabe

#18 04. April 2014 17:02

Re: [GELÖST] FormBuilder und Variablenübergabe

#19 04. April 2014 17:38

Re: [GELÖST] FormBuilder und Variablenübergabe

#20 05. April 2014 11:39

Re: [GELÖST] FormBuilder und Variablenübergabe

Fußzeile des Forums