php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Jobs und Projekte > Projekthilfe
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


Projekthilfe Hier könnt Ihr eine Art Projekthilfe anfordern. Unter Projekthilfe verstehen wir Angebote bei denen KEIN Geld gezahlt werden kann.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 29-06-2007, 10:58
beahar
 Newbie
Links : Onlinestatus : beahar ist offline
Registriert seit: Jun 2007
Beiträge: 3
beahar ist zur Zeit noch ein unbeschriebenes Blatt
Question Sicherheitslücke durch class_templates.inc?

Ein herzliches Hallo an alle Php-Profis hier im Forum.

Wie erbeten habe ich schon die FAQ´s und die Forensuche bemüht, aber leider keine Antwort auf meine Frage gefunden. Deshalb auf diesem Weg

Mein Problem: mir wurde von einem Programmierer ein eigenes Php-Skript zur Verwaltung von Tierheimhunden geschrieben. Es läuft seit 3 Jahren unter www.cocker-hilfe.de (falls das wichtig ist unter Zuhause gesucht & Zuhause gefunden).

Es besteht neben der paßwortgeschützten Verwaltung aus einer index.php (und 3 templates) zur Anzeige der Vermittlungshunde noch aus einer archiv.php (Anzeige des Archives).

Seit ca. 6 Monaten verschwinden zusehens mehr Fotos (tgl. zw. 25 und 50 - aber NUR Fotos! Keine Daten). D.h. sie bleiben auf dem FTP, aber die Spalte in der Datenbank (wo der zugeörige Fotoname stehen sollte) ist leer. Die Verbindung wird gekappt. Momentan spiele ich mehrmals tgl. ein DB Backup ein.

Die Fotoverbindung wird jedoch nur in der Vermittlung, nicht im Archiv gelöscht. Unterschied: die index.php (Vermittlung) includiert die class_templates.inc.

Meine Frage: Woran kann es liegen, daß aus heiterem Himmel und ohne Regeln diese Spalten in der DB geleert werden?

Ich bin für jeden Hinweis dankbar! Wenn noch zusätzliche Infos gebraucht werden, dann stehe ich für Fragen bereit!

Der Entwickler sagt übrigens, daß es nicht am Skript liegen kann! Aber die DB ist OK und das Archiv läuft ja!!

Liebe Grüße
Eine verzweifelte Bea.
Mit Zitat antworten
  #2 (permalink)  
Alt 29-06-2007, 11:07
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard Re: Sicherheitslücke durch class_templates.inc?

Zitat:
Original geschrieben von beahar
Meine Frage: Woran kann es liegen, daß aus heiterem Himmel und ohne Regeln diese Spalten in der DB geleert werden?
An einem Fehler, oder einer von aussen ausnutzbaren Lücke.


Wenn du im Titel die Frage
Zitat:
Sicherheitslücke durch class_templates.inc?
stellst, erwartest du dann wirklich von uns, dass wir dir, ohne auch nur das geringste bisschen vom Code gesehen zu haben*, auf die Frage, ob es an diesem Include-File liegt, mit Ja oder Nein antworten?

Na gut, dann bekommst du die gewünschte Antwort:
"Ja oder Nein."



* Nein, das stellt selbstverständlich keine Aufforderung dar, uns jetzt den kompletten Code hier um die Ohren zu klatschen. Wende dich an deinen Entwickler, soll der sich das Problem anschauen und lösen.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #3 (permalink)  
Alt 29-06-2007, 11:45
beahar
 Newbie
Links : Onlinestatus : beahar ist offline
Registriert seit: Jun 2007
Beiträge: 3
beahar ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Vielen lieben Dank für die freundliche Antwort.

Und wenn der Php-Entwickler das Problem lösen hätte können, hätte ich mich nicht hilfesuchend an Euch gewandt.

Übrigens... wenn ich nicht lesen könnte, dann hätte ich den gesamten Code hier eingestellt! Aber: Gott sei Dank kann ich lesen (und es gibt ja entsprechend dazu informierenden Threat) und deshalb auch nicht der gesamte Code.

Hatte nur gedacht, daß jemand mir eine Stelle nennen kann, die von besonderem Interesse wäre ... z.B. wie sich Sicherheitslücken kundtun könnten.
Mit Zitat antworten
  #4 (permalink)  
Alt 29-06-2007, 12:03
jens76
 Member
Links : Onlinestatus : jens76 ist offline
Registriert seit: Dec 2004
Beiträge: 328
jens76 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

na wenn du php kannst versuch mal alle sql-query die die fotoss angehen zu loggen!
Mit Zitat antworten
  #5 (permalink)  
Alt 29-06-2007, 14:06
kuddeldaddeldu
 Registrierter Benutzer
Links : Onlinestatus : kuddeldaddeldu ist offline
Registriert seit: Sep 2006
Beiträge: 437
kuddeldaddeldu ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hi,
Zitat:
Der Entwickler sagt übrigens, daß es nicht am Skript liegen kann!
Ja ja, gib ihm 50 Cent, dann kann er das der nächsten Parkuhr erzählen...
Zitat:
Hatte nur gedacht, daß jemand mir eine Stelle nennen kann, die von besonderem Interesse wäre ... z.B. wie sich Sicherheitslücken kundtun könnten.
Das sollte der Entwickler können, sonst ist er ein Stümper. Vor allem, weil er den Code im Gegensatz zu uns kennt.
Ich habe gerade mal auf die Seite geschaut. Die Get-Variablen werden komplett ungeprüft an die Datenbankabfragen übergeben!

LG
Mit Zitat antworten
  #6 (permalink)  
Alt 29-06-2007, 14:16
beahar
 Newbie
Links : Onlinestatus : beahar ist offline
Registriert seit: Jun 2007
Beiträge: 3
beahar ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ist ganz lieb von Euch, daß Ihr Euch meiner angenommen habt! Vielen Dank!

Ich habe mir alles notiert und werde versuchen, mich darüber zu informieren. Ich kenne mich zwar mit php aus, weiß wie was aussieht und kann bestehende Dinge anpassen, aber ich bin kein Programmierer. Sonst käme das Skript ja von mir

Freue mich aber, daß es nun doch am Skript liegt. Da besteht wenigstens ein kleiner Funke Hoffnung, daß das Problem lösbar ist.
Mit Zitat antworten
  #7 (permalink)  
Alt 29-06-2007, 14:31
kuddeldaddeldu
 Registrierter Benutzer
Links : Onlinestatus : kuddeldaddeldu ist offline
Registriert seit: Sep 2006
Beiträge: 437
kuddeldaddeldu ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hi,

ich habe nicht gesagt, dass es daran liegt, nur dass das Script unsicher ist. Wenn Du PHP zumindest lesen kannst, dann such die Datenbankabfragen und befolge mal Jens' Rat, indem Du die Queries, die da generiert werden in eine Textdatei loggst. Wenn bei Dir täglich 50 Bildernamen aus der DB verschwinden, müsste da ja schnell eine Ursache zu finden sein. Informier Dich generell über SQL-Injections und wie man das vermeiden kann.

Viel Erfolg
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 08:57 Uhr.