php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Jobs und Projekte > Projekthilfe
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


Projekthilfe Hier könnt Ihr eine Art Projekthilfe anfordern. Unter Projekthilfe verstehen wir Angebote bei denen KEIN Geld gezahlt werden kann.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 29-06-2007, 11:58
beahar
 Newbie
Links : Onlinestatus : beahar ist offline
Registriert seit: Jun 2007
Beiträge: 3
beahar ist zur Zeit noch ein unbeschriebenes Blatt
Question Sicherheitslücke durch class_templates.inc?

Ein herzliches Hallo an alle Php-Profis hier im Forum.

Wie erbeten habe ich schon die FAQ´s und die Forensuche bemüht, aber leider keine Antwort auf meine Frage gefunden. Deshalb auf diesem Weg

Mein Problem: mir wurde von einem Programmierer ein eigenes Php-Skript zur Verwaltung von Tierheimhunden geschrieben. Es läuft seit 3 Jahren unter www.cocker-hilfe.de (falls das wichtig ist unter Zuhause gesucht & Zuhause gefunden).

Es besteht neben der paßwortgeschützten Verwaltung aus einer index.php (und 3 templates) zur Anzeige der Vermittlungshunde noch aus einer archiv.php (Anzeige des Archives).

Seit ca. 6 Monaten verschwinden zusehens mehr Fotos (tgl. zw. 25 und 50 - aber NUR Fotos! Keine Daten). D.h. sie bleiben auf dem FTP, aber die Spalte in der Datenbank (wo der zugeörige Fotoname stehen sollte) ist leer. Die Verbindung wird gekappt. Momentan spiele ich mehrmals tgl. ein DB Backup ein.

Die Fotoverbindung wird jedoch nur in der Vermittlung, nicht im Archiv gelöscht. Unterschied: die index.php (Vermittlung) includiert die class_templates.inc.

Meine Frage: Woran kann es liegen, daß aus heiterem Himmel und ohne Regeln diese Spalten in der DB geleert werden?

Ich bin für jeden Hinweis dankbar! Wenn noch zusätzliche Infos gebraucht werden, dann stehe ich für Fragen bereit!

Der Entwickler sagt übrigens, daß es nicht am Skript liegen kann! Aber die DB ist OK und das Archiv läuft ja!!

Liebe Grüße
Eine verzweifelte Bea.
Mit Zitat antworten
  #2 (permalink)  
Alt 29-06-2007, 12:07
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard Re: Sicherheitslücke durch class_templates.inc?

Zitat:
Original geschrieben von beahar
Meine Frage: Woran kann es liegen, daß aus heiterem Himmel und ohne Regeln diese Spalten in der DB geleert werden?
An einem Fehler, oder einer von aussen ausnutzbaren Lücke.


Wenn du im Titel die Frage
Zitat:
Sicherheitslücke durch class_templates.inc?
stellst, erwartest du dann wirklich von uns, dass wir dir, ohne auch nur das geringste bisschen vom Code gesehen zu haben*, auf die Frage, ob es an diesem Include-File liegt, mit Ja oder Nein antworten?

Na gut, dann bekommst du die gewünschte Antwort:
"Ja oder Nein."



* Nein, das stellt selbstverständlich keine Aufforderung dar, uns jetzt den kompletten Code hier um die Ohren zu klatschen. Wende dich an deinen Entwickler, soll der sich das Problem anschauen und lösen.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #3 (permalink)  
Alt 29-06-2007, 12:45
beahar
 Newbie
Links : Onlinestatus : beahar ist offline
Registriert seit: Jun 2007
Beiträge: 3
beahar ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Vielen lieben Dank für die freundliche Antwort.

Und wenn der Php-Entwickler das Problem lösen hätte können, hätte ich mich nicht hilfesuchend an Euch gewandt.

Übrigens... wenn ich nicht lesen könnte, dann hätte ich den gesamten Code hier eingestellt! Aber: Gott sei Dank kann ich lesen (und es gibt ja entsprechend dazu informierenden Threat) und deshalb auch nicht der gesamte Code.

Hatte nur gedacht, daß jemand mir eine Stelle nennen kann, die von besonderem Interesse wäre ... z.B. wie sich Sicherheitslücken kundtun könnten.
Mit Zitat antworten
  #4 (permalink)  
Alt 29-06-2007, 13:03
jens76
 Member
Links : Onlinestatus : jens76 ist offline
Registriert seit: Dec 2004
Beiträge: 328
jens76 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

na wenn du php kannst versuch mal alle sql-query die die fotoss angehen zu loggen!
Mit Zitat antworten
  #5 (permalink)  
Alt 29-06-2007, 15:06
kuddeldaddeldu
 Registrierter Benutzer
Links : Onlinestatus : kuddeldaddeldu ist offline
Registriert seit: Sep 2006
Beiträge: 437
kuddeldaddeldu ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hi,
Zitat:
Der Entwickler sagt übrigens, daß es nicht am Skript liegen kann!
Ja ja, gib ihm 50 Cent, dann kann er das der nächsten Parkuhr erzählen...
Zitat:
Hatte nur gedacht, daß jemand mir eine Stelle nennen kann, die von besonderem Interesse wäre ... z.B. wie sich Sicherheitslücken kundtun könnten.
Das sollte der Entwickler können, sonst ist er ein Stümper. Vor allem, weil er den Code im Gegensatz zu uns kennt.
Ich habe gerade mal auf die Seite geschaut. Die Get-Variablen werden komplett ungeprüft an die Datenbankabfragen übergeben!

LG
Mit Zitat antworten
  #6 (permalink)  
Alt 29-06-2007, 15:16
beahar
 Newbie
Links : Onlinestatus : beahar ist offline
Registriert seit: Jun 2007
Beiträge: 3
beahar ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ist ganz lieb von Euch, daß Ihr Euch meiner angenommen habt! Vielen Dank!

Ich habe mir alles notiert und werde versuchen, mich darüber zu informieren. Ich kenne mich zwar mit php aus, weiß wie was aussieht und kann bestehende Dinge anpassen, aber ich bin kein Programmierer. Sonst käme das Skript ja von mir

Freue mich aber, daß es nun doch am Skript liegt. Da besteht wenigstens ein kleiner Funke Hoffnung, daß das Problem lösbar ist.
Mit Zitat antworten
  #7 (permalink)  
Alt 29-06-2007, 15:31
kuddeldaddeldu
 Registrierter Benutzer
Links : Onlinestatus : kuddeldaddeldu ist offline
Registriert seit: Sep 2006
Beiträge: 437
kuddeldaddeldu ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hi,

ich habe nicht gesagt, dass es daran liegt, nur dass das Script unsicher ist. Wenn Du PHP zumindest lesen kannst, dann such die Datenbankabfragen und befolge mal Jens' Rat, indem Du die Queries, die da generiert werden in eine Textdatei loggst. Wenn bei Dir täglich 50 Bildernamen aus der DB verschwinden, müsste da ja schnell eine Ursache zu finden sein. Informier Dich generell über SQL-Injections und wie man das vermeiden kann.

Viel Erfolg
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni


 

Aktuelle PHP Scripte

Formmailer v1.6.1 Bootstrap 4

Formmailer v1.6.1 Bootstrap wurde extra für Bootstrap entwickelt. Mit Bootstrap kann man schnell und einfach kleine oder große Projekte entwickeln, die auf Geräten in allen erdenklichen Formen funktionieren.

18.12.2018 arne-home | Kategorie: PHP/ Formular
HeidiSQL - kostenloses MySQL front-end Editor für Windows ansehen HeidiSQL - kostenloses MySQL front-end Editor für Windows

HeidiSQL - ist ein Windows-Editor für die bekannt open Source Datenbank mySQL

10.12.2018 Berni | Kategorie: MYSQL/ Management
piwik Open-Source Webanalyse-Software ansehen piwik Open-Source Webanalyse-Software

piwik ist eine gute Alternative zu Google Analytics. Viele Features und ein modernes Erscheinungsbild mit aussagefähigen Statistiken in Echtzeit

10.12.2018 phpler | Kategorie: PHP/ Besucherzaehler
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 15:02 Uhr.