Aktivierungslink funktioniert nit

**FlAsHpro** · 20.04.2006, 10:56

Ist das genau DER Aktivierungs link den du per Mail zugeschickt bekommen hast?

**M4rc3l** · 20.04.2006, 11:29

nein den hier hab ich zugeschickt bekommen:

http://www.domain.de/aktivieren.php?...db416aad70d&qu ot;,

www.domain.de hab ich durch die domain meines webspaces ersetzt

**FlAsHpro** · 20.04.2006, 11:48

Hi!
Und was funktioniert dann nicht?

**jahlives** · 20.04.2006, 11:50

@topicstarter
Willst du dieses Script wirklich so wie es steht verwenden ? Wenn du dieses Online stellst ist es nur eine Frage der Zeit bis dir die DB mittels SQL-Injection darnieder gemacht wird.
Das Script übernimmt uneprüft $_GET Vars und baut diese in eine MySql Abfrage ein. Das geht nicht lange gut.
Zumindest dies

PHP-Code:


$user=mysql_real_escape_string($_GET["user"]);

$code=mysql_real_escpe_string($_GET["code"]);

Besser wäre es imho noch explizit auf verbotene Zeichen zu prüfen und bei deren Vorhandensein, dass Script sofort abzubrechen

PHP-Code:


if(strpos("'",$_GET['user']) === false && strpos(';',$_GET['user']) === false){

//tu was

}else{

    exit;

}

Diese Prüfung ist nicht abschliessend (mach dich im www mal schlau darüber welche Zeichen MySql sonst noch gefährlich werden könnten.

Gruss

tobi

**M4rc3l** · 20.04.2006, 11:55

thx.. kümmere mich darumm

und wodran liegt das mit dem aktivierungslink???

**jahlives** · 20.04.2006, 12:04

und wodran liegt das mit dem aktivierungslink???

Dass du bis jetzt keine zufriedenstellende Antwort erhalten hast, liegt daran dass die Fragestellung nicht wirklich präzies ist... Funzt nicht ist keine Fehlerbeschreibung. Ich tippe mal drauf, dass irgendwie die MySql Abfragen in die Hosen gehen. Aber das ist nur geraten, denn du lieferst ned wirklich Hinweise. Lies mal die Regeln des Forums, dort steht etwas zum Thema 'Wenn Mysql nicht will'. Dort würde ich ansetzen um das Problem einzugrenzen.

Gruss

tobi

p.s.

PHP-Code:


error_reporting(E_ALL);

hast du gemacht ?

**FlAsHpro** · 20.04.2006, 12:04

Hallo Marcel.
Ich denke du hast mein Post übersehen und wirst es nicht nocheinmal lesen, deshalb frage ich aus faulheit einfach nocheinmal:
Was funktioniert denn genau nicht? Fehlermeldungen? Passiert nichts?

mit freundlichen Grüssen.

Edit;
jahlives war schneller

**M4rc3l** · 20.04.2006, 12:29

Als 1. ist der Aktivierungslink kein durch gehen der link sonder ist unterbrochen und 2. wird die seite nicht gefunden...

ich habe schon versucht das leerzeichen aus der lücke zu entfernnen es funkt aber trotzdem nit...

**boris-schneider** · 20.04.2006, 12:54

erm ja...

**M4rc3l** · 20.04.2006, 13:23

Original geschrieben von boris-schneider
erm ja...

und was soll das jetzt heißen????

**M4rc3l** · 21.04.2006, 08:40

weiß das hier auch niemand?????

**boris-schneider** · 21.04.2006, 08:49

Original geschrieben von M4rc3l
weiß das hier auch niemand?????

erm..

ist der Aktivierungslink kein durch gehen der link sonder ist unterbrochen und 2. wird die seite nicht gefunden...

1. Dann machst du was bei der erstellung des links falsch!
zb. bekommst du mit:

PHP-Code:


function genKey($length = 25) {

  $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";

  srand((double)microtime()*1000000);

  for($i = 0; $i < $length; $i++)

      $code .= $chars[rand(0,strlen($chars)-1)];

    $key = $code;

  return $key;

}



echo genkey();

einen schönen Aktivierungslink den du dem benutzer per Email schickst als auch in deine DB einträgst!

2. Das die Seite nicht gefunden wird liegt auch daran das du URL nicht stimmt die du via mail rausschickst.

that's it!

PS: wenn key=gk59047fr0ferf&user=boris via GET übergeben werden bekommst du auch via $_GET['key']/$_GET['user'] die Informationen, auch wenn zb. im key sich ein leerzeichen befindet, wird es im Browser sofort in %20 umgewandelt, trotzalledem aber via echo angezeigt!

Sers
Der Boris

**M4rc3l** · 21.04.2006, 08:58

in diesem script was ich da jetzt habe da möchte ich wissen wo der fehler ist mir ist auch kllar das der fehler bei der erstellung liegen wird...

Ich habe das script und den Link der rausgeschickt wird gepostet.

**boris-schneider** · 21.04.2006, 09:06

Das:

PHP-Code:


http://www.domain.de/aktivieren.php?user=".$username."&code=".$register_code."&qu ot;,

ist aber nicht sehr aussagekräftig

, ich weiß doch dadurch nicht wie die Daten verarbeitet werden die dann die variablen füllen.

sers
Der Boris

Aktivierungslink funktioniert nit