[PHP] header location url lengte bij GET ?

[Jan Smeelen]

Voor een koppeling met een online betaalkassa
welke aangestuurd wordt door shopfactory
maak ik gebruik van
header("Location: $URL");

Echter kan in de nieuwe versie van shopfactory
gekozen worden voor "tekst met opmaak"
deze wordt meegestuurd in de url en ik maak
gebruik van de GET methode

Ik denk (weet wel bijna zeker ;) dat door de lengte van de $URL
ik de foutmelding krijg " DNS error"

Wie weet hoe lang mag met GET de url mag zijn ?

Onderstaand een voorbeeld url, die dus niet werkt :
( naam winkel en id zijn aangepast ;)

<?
$URL='https://i-kassa.rabobank.nl/RIK/prod/orderstandard.asp?MerchantID=2111
&Ordernummer=031394510&Totaalbedrag=4262&Taal=NL&Valuta=EUR&PM=Creditcard&BR
AND=Visa&Payorder=Bestelformulier++++++++++++++++++++++++++++++++++++++++%3A
+zomaareenwinkel++de+thuis+winkel+voor+iedereen%21%21%0D%0A%0D%0Ahttp%3A%2F%
2Fwww.zomaareenwinkel.com%2Findex.html%0D%0A--------------------------------
-----------------------------------------%0D%0A%3D%3D%3D%3D%3D%3D%3D%3D%3D%3
D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D
%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%
3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%0D%0ABestelnummer++++++++++++++++++++
+++++++++++++++++++++++%3A+041402335470++++%0D%0AIngezonden+door++++++++++++
++++++++++++++++++++++++++++%3A+Webfontein+test+%0D%0ADatum+++++++++++++++++
+++++++++++++++++++++++++++++++++%3A+%23%23May+20%2C+2003%23%23%0D%0A%0D%0A+
Rabobank++++++++++++++++++++++++++++++++++++++++++++++%3A+Utrecht+rekeningnu
mmer%3B+39.22.32.597+-Swiftcode%3A+Rabo+NL+2U+t.n.v.+D.+JANSEN%0D%0A+Deutsch
e+bank+24++++++++++++++++++++++++++++++++++++++%3A++Empf%E4nger+Loenen+Dirk+
Konto+1420769+BLZ+32470024+Deutschland%0D%0A%0D%0A%3D%3D%3D%3D%3D%3D%3D%3D%3
D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D
%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%
3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%0D%0ATotaal%0D%0A%3D%3D%3D%3D%3D%3
D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D
%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%
3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%0D%0A%3D%3D%3D%3D%3D%3D%3
D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D
%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%
3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%0D%0A+++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++++++++Euro%0D%0APrijs%28incl+BTW%29
++++++++++++++++++++++++++++++++++++++++%3A++++++++++++36%2C95%0D%0A--------
-----------------------------------------------------------------%0D%0Aexcl+
BTW+++++++++++++++++++++++++++++++++++++++++++++++%3A++++++++++++31%2C05%0D%
0AVerzendkosten++++++++++++++++++++++++++++++++++++++++++%3A+++++++++++++4%2
C76%0D%0AVerzendkosten+BTW++++++++++++++++++++++++++++++++++++++%3A+++++++++
++++0%2C91%0D%0ABTW+%2819%25%29+++++++++++++++++++++++++++++++++++++++++++++
+%3A+++++++++++++5%2C90%0D%0A%0D%0A-----------------------------------------
--------------------------------%0D%0ATotaal+incl.++++++++++++++++++++++++++
+++++++++++++++++%3A++++++++++++42%2C62%0D%0A%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%
3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3
D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D
%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%0D%0ARekening+op+naam+van++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++%0D%0A%3D%3D%3D%3D%3D%3D%3D%3D%3
D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D
%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%
3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%0D%0A%0D%0ANaam+%28voor-%2Fachtern
aam%29++++++++++++++++++++++++++++++++%3A+Webfontein+test+%0D%0ABedrijfsnaam
+++++++++++++++++++++++++++++++++++++++++++%3A+bbb+++++++++++++%0D%0AStraat+
++++++++++++++++++++++++++++++++++++++++++++++++%3A+bbbbbbbbbbbbbb++%0D%0APl
aats+++++++++++++++++++++++++++++++++++++++++++++++++%3A+abbbbbbb++++++++%0D
%0AStaat++++++++++++++++++++++++++++++++++++++++++++++++++%3A+bbbbbbbbbbbbbb
bb%0D%0APostcode+++++++++++++++++++++++++++++++++++++++++++++++%3A+bbbb+++++
+++++++%0D%0ALand+++++++++++++++++++++++++++++++++++++++++++++++++++%3A+nl++
++++++++++++%0D%0ATelefoonnr.++++++++++++++++++++++++++++++++++++++++++++%3A
+7878++++++++++++%0D%0AFaxnr.+++++++++++++++++++++++++++++++++++++++++++++++
++%3A+6868++++++++++++%0D%0AE-mail++++++++++++++++++++++++++++++++++++++++++
+++++++%3A+info%40zomaarwat.nl%0D%0AUw+mededeling+aan+ons+++++++++++++++++++
+++++++++++++++%3A+++++++++++++++++%0D%0AVerzendgebied++++++++++++++++++++++
++++++++++++++++++++%3A+Nationaal+++++++%0D%0AVerzendmethode+kiezen+++++++++
+++++++++++++++++++++++++%3A+%80.+0%2C00+-%80.+137%2C-%0D%0ABelastingregio++
+++++++++++++++++++++++++++++++++++++++%3A+Nederland+++++++%0D%0A%0A%0D%0A%3
D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D
%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%
3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%0D%0ABeste
lgegevens%0D%0A%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%
3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3
D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D
%3D%3D%0D%0A++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++Euro%0D%0AAardappelschiller+POTATO+PEELER+%2F+SALAD+SPINNER+1940S++%3A
++++++++++++31%2C05%0D%0ABestelnummer+++++++++++++++++++++++++++++++++++++++
++++%3A+POTATO+PEELER+%2F+SALAD+SPINNER+1940S%0D%0AAantal+++++++++++++++++++
++++++++++++++++++++++++++++++%3A+1+++++++++++++++%0D%0ASubtotaal+++++++++++
+++++++++++++++++++++++++++++++++++%3A++++++++++++36%2C95%0D%0A+++%28incl+BT
W+19%25+++++++++++++++++++++++++++++++++++++++%3A++++++++++++5%2C90%29%0D%0A
%0D%0A----------------------------------------------------------------------
---%0D%0A%0D%0A%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%
3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3
D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D
%3D%3D%0D%0A%0A-----+Totaal+-----%0A%0APrijs%3A+31.05%0ABTW%3A+6.81%0AVerzen
dkosten%3A+4.76%0ATotaal+incl.%3A+42.62%0A';
header("Location: $URL");
?>

[Daniel Tryba]

Jan Smeelen <sme...@friaco.nl> wrote:
> Ik denk (weet wel bijna zeker ;) dat door de lengte van de $URL
> ik de foutmelding krijg " DNS error"
>
> Wie weet hoe lang mag met GET de url mag zijn ?

AFAIK is er geen beperking volgens RFC 2616:

<q>
3.2.1 General Syntax

The HTTP protocol does not place any a priori limit on the length of
a URI. Servers MUST be able to handle the URI of any resource they
serve, and SHOULD be able to handle URIs of unbounded length if they
provide GET-based forms that could generate such URIs. A server
SHOULD return 414 (Request-URI Too Long) status if a URI is longer
than the server can handle (see section 10.4.15).
</q>

Aangezien je geen 414 maar een DNS error krijgt is je probleem _niet_
serverside maar _client_side (MAW je bent hier verkeert).

Afhankelijk van je client zijn er mogelijk wel limiten,
bv: http://support.microsoft.com/support/kb/articles/Q208/4/27.asp

Maar dat soort spul is per browser vast te vinden met een goede
searchengine.

--

Daniel Tryba

[Jan Smeelen]

"Daniel Tryba" <news_nl.internet...@canopus.nl> schreef in
bericht news:baeeup$2ql$1...@news.tue.nl...

> Jan Smeelen <sme...@friaco.nl> wrote:
> > Ik denk (weet wel bijna zeker ;) dat door de lengte van de $URL
> > ik de foutmelding krijg " DNS error"
> >
> > Wie weet hoe lang mag met GET de url mag zijn ?
>
> AFAIK is er geen beperking volgens RFC 2616:
>
> <q>
> 3.2.1 General Syntax
>
> The HTTP protocol does not place any a priori limit on the length of
> a URI. Servers MUST be able to handle the URI of any resource they
> serve, and SHOULD be able to handle URIs of unbounded length if they
> provide GET-based forms that could generate such URIs. A server
> SHOULD return 414 (Request-URI Too Long) status if a URI is longer
> than the server can handle (see section 10.4.15).
> </q>
>
> Aangezien je geen 414 maar een DNS error krijgt is je probleem _niet_
> serverside maar _client_side (MAW je bent hier verkeert).

nou, het vreemde is, dat er soms geheel geen url aangestuurd wordt,
en dan zonder DNS error, en de andere keer, krijg ik gewoon een
blanco pagina....

Tevens is het volgens mij NIET client-side,
het meest vreemde is dat als ik de url in de gehele
lengte plak in de browser dat dan wel de
url geladen wordt !

Mogelijk een bugje in PHP ????
Ik vind dit namelijk wel heeeeeel vreemd !

bedankt i.i.g. voor je reply !
( mogelijk kan je het scriptje zelf eens proberen ? )

Jan Smeelen.

[Marcus]

"Jan Smeelen" <sme...@friaco.nl> schreef in bericht
news:3ecabc54$0$4125$6c4e...@reader.news.uudial.eu.uu.net...

> Voor een koppeling met een online betaalkassa
> welke aangestuurd wordt door shopfactory
> maak ik gebruik van
> header("Location: $URL");
>
> Echter kan in de nieuwe versie van shopfactory
> gekozen worden voor "tekst met opmaak"
> deze wordt meegestuurd in de url en ik maak
> gebruik van de GET methode
>
> Ik denk (weet wel bijna zeker ;) dat door de lengte van de $URL
> ik de foutmelding krijg " DNS error"
>
> Wie weet hoe lang mag met GET de url mag zijn ?
>
> Onderstaand een voorbeeld url, die dus niet werkt :
> ( naam winkel en id zijn aangepast ;)
>
>

2Fwww.zomaareenwinkel.com%2Findex.html%0D%0A----------------------------
----
> -----------------------------------------%0D%0A%3D%3D%3D%3D%3D%3D%3D%3
D%3D%3
>
D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3
D%3D
>
%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D
%3D%
>
3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%3D%0D%0ABestelnummer++++++++++++++++
++++

probeer eens meerdere - door 1 - te vervangen, hetzelfde geldt voor de =
(%3D)

>
+++++++++++++++++++++++%3A+041402335470++++%0D%0AIngezonden+door++++++++
++++
>
++++++++++++++++++++++++++++%3A+Webfontein+test+%0D%0ADatum+++++++++++++
++++
>
+++++++++++++++++++++++++++++++++%3A+%23%23May+20%2C+2003%23%23%0D%0A%0D
%0A+
>
Rabobank++++++++++++++++++++++++++++++++++++++++++++++%3A+Utrecht+rekeni
ngnu

en de + (spatie)

> header("Location: $URL");

En anders misschien met POST ipv met GET?

Maar sowieso lijkt er een hoop loze info in te staan (en het lijkt erop
dat je hier mooi mee kan XSS-en, kan je bv ook een aler(document.cookie)
doen zo?)

Mark

[Daniel Tryba]

Jan Smeelen <sme...@friaco.nl> wrote:
>> Aangezien je geen 414 maar een DNS error krijgt is je probleem _niet_
>> serverside maar _client_side (MAW je bent hier verkeert).
>
> nou, het vreemde is, dat er soms geheel geen url aangestuurd wordt,
> en dan zonder DNS error, en de andere keer, krijg ik gewoon een
> blanco pagina....

Aha, aditionele informatie die opeens uit het niets komt. Een DNS error
is wel degelijk clientside. Andere meldingen zijn nog niet zeker.

> Tevens is het volgens mij NIET client-side,
> het meest vreemde is dat als ik de url in de gehele
> lengte plak in de browser dat dan wel de
> url geladen wordt !
>
> Mogelijk een bugje in PHP ????
> Ik vind dit namelijk wel heeeeeel vreemd !

Even een testscriptje gehakt en kan de volgende voorlopige
testresultaten geven:

konqueror 3.1.2: uri langer dan 4086 chars worden, niet correct
doorgegeven
Opera 6 : uri tot 8191 worden correct doorgegeven
Mozilla 1.3 : uri tot 8191 worden correct doorgegeven
lynx : na 5119: Got redirection with no Location header.

URI langer dan 8190 produceren in mijn apache 1.3.27 een 400:
Your browser sent a request that this server could not understand.
Size of a request header field exceeds server limit.

Het probleem lijkt dus niet PHP gerelateerd, het zou aan browser, https,
IIS of Apache (of een combo van) kunnen zijn.

--

Daniel Tryba

[Jan Smeelen]

"Marcus" <do...@bannerswapnl.com> schreef in bericht
news:3ecb2811$0$41550$e4fe...@dreader9.news.xs4all.nl...

>
> "Jan Smeelen" <sme...@friaco.nl> schreef in bericht
> news:3ecabc54$0$4125$6c4e...@reader.news.uudial.eu.uu.net...
> > Voor een koppeling met een online betaalkassa
> > welke aangestuurd wordt door shopfactory
> > maak ik gebruik van
> > header("Location: $URL");
> >
> > Echter kan in de nieuwe versie van shopfactory
> > gekozen worden voor "tekst met opmaak"
> > deze wordt meegestuurd in de url en ik maak
> > gebruik van de GET methode
> >
> > Ik denk (weet wel bijna zeker ;) dat door de lengte van de $URL
> > ik de foutmelding krijg " DNS error"

> knip voorbeeld code <

> > header("Location: $URL");
>
> En anders misschien met POST ipv met GET?
>
> Maar sowieso lijkt er een hoop loze info in te staan (en het lijkt erop
> dat je hier mooi mee kan XSS-en, kan je bv ook een aler(document.cookie)
> doen zo?)

Nou, probleem heb ik uiteraard opgelost,
de klant kan in het pakket wat de variabele doorgeeft
ook kiezen voor text zonder opmaak, en dat geeft
geen problemen.

De vraag stelde ik uit nieuwsgierigheid, waar het probleem
zou kunnen zitten.

Wel een ander vraagje, ik loop pas een jaar of 3
mee hier, maar versta niet de afkorting XSS-en ?

groeten en bedankt voor de reply !

Jan.

[Marcus]

Jan Smeelen wrote:
> "Marcus" <do...@bannerswapnl.com> schreef in bericht
> news:3ecb2811$0$41550$e4fe...@dreader9.news.xs4all.nl...

>> Maar sowieso lijkt er een hoop loze info in te staan (en het lijkt
>> erop dat je hier mooi mee kan XSS-en, kan je bv ook een
>> aler(document.cookie) doen zo?)
>

> Wel een ander vraagje, ik loop pas een jaar of 3
> mee hier, maar versta niet de afkorting XSS-en ?

Cross site scripting, google maar eens op XSS FAQ
Het is een exploit bij een hoop scripts die hackers kunnen gebruiken om
je cookies uit te lezen.

Mark

[Hans Wolters]

Cookies uitlezen gebruiken ze vooral om te kijken of een site
exploitable is. Het echte exploiten doen ze meestal door remote
gescripte stukken code te laten inlezen en uit te voeren.

Groet,

Hans

--
pasop, nomailwanted is een spamtrap.

[Marcus]

Uiteraard, desalniettemin is het ook al een exploit dat je cookies uit
kan lezen.

Mark