php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Webmaster > User pages
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


User pages Hier könnt ihr anderen Usern eure Seite vorstellen und Bewertungen, Anregungen und Kritik sammeln. Reine Werbepostings sind auch in diesem Forum verboten!

Umfrageergebnis anzeigen: Wie findet ihr VM? (Schulnoten)
1 1 16,67%
2 1 16,67%
3 1 16,67%
4 1 16,67%
5 1 16,67%
6 1 16,67%
Teilnehmer: 6. Sie dürfen bei dieser Umfrage nicht abstimmen

Antwort
 
LinkBack Themen-Optionen Bewertung: Bewertung: 1 Stimmen, 5,00 durchschnittlich.
  #1 (permalink)  
Alt 02-09-2007, 22:27
Seggl-hoch-drei
 Registrierter Benutzer
Links : Onlinestatus : Seggl-hoch-drei ist offline
Registriert seit: Sep 2007
Beiträge: 312
Seggl-hoch-drei ist zur Zeit noch ein unbeschriebenes Blatt
Standard Meine Homepage: Virtual-Meetings.de

Hallo,

wie findet ihr Virtual-Meetings.de? Es ist eine Community, die ich geschrieben habe, um mich mit PHP, MySQL, JS, AJAX und HTML vertraut zu machen.

Bald will ich alle Tabellen durch Divs ersetzen und die Links mit mod_rewrite umschreiben.

link: http://www.virtual-meetings.de/

simon
Mit Zitat antworten
  #2 (permalink)  
Alt 02-09-2007, 23:20
tontechniker
 PHP Senior
Links : Onlinestatus : tontechniker ist offline
Registriert seit: Jul 2005
Beiträge: 1.972
tontechniker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

PHP Fehler, Spam im Gästebuch, unübersichtlich, Popups, wenn ich in die Historie schaue habe ich den Eindruck das Design war schonmal aufgeräumter ... nur mal meine Meinung dazu.
__________________
Die Regeln | rtfm | register_globals | strings | SQL-Injections | []
Mit Zitat antworten
  #3 (permalink)  
Alt 02-09-2007, 23:43
Seggl-hoch-drei
 Registrierter Benutzer
Links : Onlinestatus : Seggl-hoch-drei ist offline
Registriert seit: Sep 2007
Beiträge: 312
Seggl-hoch-drei ist zur Zeit noch ein unbeschriebenes Blatt
Standard

wo sin php-fehler? und was genu findest du unübersichtlich?

dann änder ich das ;-)
Mit Zitat antworten
  #4 (permalink)  
Alt 03-09-2007, 09:09
lennart
 PHP Junior
Links : Onlinestatus : lennart ist offline
Registriert seit: May 2007
Ort: Hamburg
Beiträge: 565
lennart ist zur Zeit noch ein unbeschriebenes Blatt
Standard

ich ahne sehr, sehr, sehr böses:

http://www.virtual-meetings.de/index...ite=gb&seite=;

Zitat:
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/web283/html/virtual-meetings/scripts/gb-include.php on line 65
edit:

das selbe bei der suche - also warscheinlich überall auf der seite

edit2:

die sehr, sehr, sehr böse vorahnung hat sich bestätigt!
http://www.virtual-meetings.de/index...=1%20AND%201=1

...das übel an php. jeder glaubt es zu können...

ich würde die seite an deiner/eurer stelle erstmal abschalten

Geändert von lennart (03-09-2007 um 09:18 Uhr)
Mit Zitat antworten
  #5 (permalink)  
Alt 03-09-2007, 11:47
Seggl-hoch-drei
 Registrierter Benutzer
Links : Onlinestatus : Seggl-hoch-drei ist offline
Registriert seit: Sep 2007
Beiträge: 312
Seggl-hoch-drei ist zur Zeit noch ein unbeschriebenes Blatt
Standard

äh... die get-variablen werden alle escaped.
was willst du mir mit dem AND 1=1 sagen?

und warum soll ich wegen dem bug im GB die seite abschalten? der lässt sich beheben

EDIT: Sehe gerade, dass ich das is_numeric im GB vergessen habe. Jetzt kommt kein Fehler mehr...

EDIT: Auch der Fehler in der Suche wurde behoben. Danke, dass du ihn gemeldet hast. Jetzt frag ich mich nur noch, was das AND 1=1 zu bedeuten haben soll

Geändert von Seggl-hoch-drei (03-09-2007 um 12:22 Uhr)
Mit Zitat antworten
  #6 (permalink)  
Alt 03-09-2007, 12:43
lennart
 PHP Junior
Links : Onlinestatus : lennart ist offline
Registriert seit: May 2007
Ort: Hamburg
Beiträge: 565
lennart ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von Seggl-hoch-drei
Jetzt frag ich mich nur noch, was das AND 1=1 zu bedeuten haben soll
Das nennt sich blind SQL Injection. Kann man benutzen wenn error reporting aus ist und eine Manipulation eine z.B. leer Seite ergibt. Wenn man jetzt einen AND 1=1 anhängt und die Seite genau gleich angezeigt wird wie ohne Manipulation, dann werden die Manipulationen übernommen.
Mit Zitat antworten
  #7 (permalink)  
Alt 03-09-2007, 12:53
Seggl-hoch-drei
 Registrierter Benutzer
Links : Onlinestatus : Seggl-hoch-drei ist offline
Registriert seit: Sep 2007
Beiträge: 312
Seggl-hoch-drei ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ich dachte eigentlich, SQL-Injections wären, wenn man SQL-Code in die URL mit einbindet und so was an der Db verändern kann.

Wikipedia sagt:
Zitat:
Von einer blinden SQL-Injektion spricht man, wenn ein Server keine deskriptive Fehlermeldung zurückliefert, aus der hervorgeht, ob der übergebene Query erfolgreich ausgeführt wurde oder nicht. Anhand verschiedenster Kleinigkeiten wie etwa leicht unterschiedlicher Fehlermeldungen oder auch charakteristisch unterschiedlicher Antwortzeiten des Servers kann ein versierter Angreifer häufig dennoch feststellen, ob ein Query erfolgreich war oder einen Fehler zurückmeldet.
mit AND 1=1 passiert doch nichts?!?

gegen SQL-Injektions bin ich eigentlich immer mit mysql_real_escape_string bzw. addslashes vorgegangen....

gibts noch irgendwas, was ich für die sicherheit tun kann?

Geändert von Seggl-hoch-drei (03-09-2007 um 12:57 Uhr)
Mit Zitat antworten
  #8 (permalink)  
Alt 03-09-2007, 13:31
Gavyn
 Junior Member
Links : Onlinestatus : Gavyn ist offline
Registriert seit: Aug 2007
Ort: Hamburg
Beiträge: 50
Gavyn ist zur Zeit noch ein unbeschriebenes Blatt
Gavyn eine Nachricht über ICQ schicken
Standard

Zitat:
Original geschrieben von lennart
Das nennt sich blind SQL Injection. Kann man benutzen wenn error reporting aus ist und eine Manipulation eine z.B. leer Seite ergibt. Wenn man jetzt einen AND 1=1 anhängt und die Seite genau gleich angezeigt wird wie ohne Manipulation, dann werden die Manipulationen übernommen.
Gibts darüber irgendwo was zu lesen? (Außer http://de.wikipedia.org/wiki/SQL-Injektion)

Weil so ganz schlüssig ist mir das irgendwie nicht, wie AND 1=1 nun auf eine Sicherheitslücke hinweisen soll.
Mit Zitat antworten
  #9 (permalink)  
Alt 03-09-2007, 13:37
Seggl-hoch-drei
 Registrierter Benutzer
Links : Onlinestatus : Seggl-hoch-drei ist offline
Registriert seit: Sep 2007
Beiträge: 312
Seggl-hoch-drei ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von Gavyn
Gibts darüber irgendwo was zu lesen? (Außer http://de.wikipedia.org/wiki/SQL-Injektion)

Weil so ganz schlüssig ist mir das irgendwie nicht, wie AND 1=1 nun auf eine Sicherheitslücke hinweisen soll.
das frag ich mich allerdings auch....
Mit Zitat antworten
  #10 (permalink)  
Alt 03-09-2007, 14:14
lennart
 PHP Junior
Links : Onlinestatus : lennart ist offline
Registriert seit: May 2007
Ort: Hamburg
Beiträge: 565
lennart ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von Gavyn
Gibts darüber irgendwo was zu lesen? (Außer http://de.wikipedia.org/wiki/SQL-Injektion)
http://www.spidynamics.com/whitepape...LInjection.pdf z.B.
Mit Zitat antworten
  #11 (permalink)  
Alt 03-09-2007, 14:18
Gavyn
 Junior Member
Links : Onlinestatus : Gavyn ist offline
Registriert seit: Aug 2007
Ort: Hamburg
Beiträge: 50
Gavyn ist zur Zeit noch ein unbeschriebenes Blatt
Gavyn eine Nachricht über ICQ schicken
Standard

Danke
Mit Zitat antworten
  #12 (permalink)  
Alt 03-09-2007, 14:38
Seggl-hoch-drei
 Registrierter Benutzer
Links : Onlinestatus : Seggl-hoch-drei ist offline
Registriert seit: Sep 2007
Beiträge: 312
Seggl-hoch-drei ist zur Zeit noch ein unbeschriebenes Blatt
Standard

hat sonst noch jemand eine/mehrere sicherheitslücke(n) gesehen?
auch für Verbesserungsvorschläge bin ich offen ;-)
Mit Zitat antworten
  #13 (permalink)  
Alt 03-09-2007, 15:28
aimbot
 PHP Junior
Links : Onlinestatus : aimbot ist offline
Registriert seit: Feb 2004
Ort: Lahr - Germany
Beiträge: 779
aimbot ist zur Zeit noch ein unbeschriebenes Blatt
Standard

wenn ich leere forms submitte kommt "Ein unbekannter Fehler ist aufgetreten." das ist imho von der usability ziemlich für den arsch. besser wäre, wenn die nicht korrekt ausgefüllten felder markiert und der fehler mit einer gescheiten meldung beschrieben werden würden. unbekannt ist der fehler ja wohl nicht

ebenso im ausgeloggten zustand auf "mein profil" => "profil-id ist nicht im richtigen format"

genauso kann ich foreneinträge schreiben und erst beim klick auf "speichern" wird mir gesagt, dass ich mich erst einloggen/registrieren muss.

bei der registrierung wird die e-mail-adresse nicht mal auf richtigkeit geprüft.

das hab ich jetzt in max. 2-3 minuten gefunden.......
__________________
MfG
aim
Lies mich jetzt!
- OT-Tags-Liebhaber und BB-Code-Einrücker -

Geändert von aimbot (03-09-2007 um 15:31 Uhr)
Mit Zitat antworten
  #14 (permalink)  
Alt 03-09-2007, 16:23
deathcakeman
 Registrierter Benutzer
Links : Onlinestatus : deathcakeman ist offline
Registriert seit: Aug 2006
Beiträge: 134
deathcakeman ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Im Forum kommt zu dem noch folgender Fehler:

PHP-Code:
Warningin_array(): Wrong datatype for second argument in 
/var/www/web283/html/virtual-meetings/scripts/forum-include.php on line 218 
Ich würde an deiner Stelle die Seite nochmal vom Netz nehmen und mir über mein Sicherheitskonzept gedanken machen.
__________________
*blubb*
Mit Zitat antworten
  #15 (permalink)  
Alt 03-09-2007, 17:05
Seggl-hoch-drei
 Registrierter Benutzer
Links : Onlinestatus : Seggl-hoch-drei ist offline
Registriert seit: Sep 2007
Beiträge: 312
Seggl-hoch-drei ist zur Zeit noch ein unbeschriebenes Blatt
Standard

> wenn ich leere forms submitte kommt "Ein unbekannter Fehler ist
> aufgetreten." das ist imho von der usability ziemlich für den arsch.
> besser wäre, wenn die nicht korrekt ausgefüllten felder markiert
> und der fehler mit einer gescheiten meldung beschrieben werden
> würden. unbekannt ist der fehler ja wohl nicht

Die meisten Formulare werden mit JS geprüft. Welches Formular meinst du?

> ebenso im ausgeloggten zustand auf "mein profil" => "profil-id ist
> nicht im richtigen format"
Oh, danke :-) Habs geändert...


> genauso kann ich foreneinträge schreiben und erst beim klick auf
> "speichern" wird mir gesagt, dass ich mich erst
> einloggen/registrieren muss.
Danke für den Hinweis. Jetzt müsste es stimmen...

> bei der registrierung wird die e-mail-adresse nicht mal auf
> richtigkeit geprüft.

Derzeit wird nur geprüft, ob ein "@" vorkommt :-D
Ich schreibs auf meine Todoliste

Simon
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 15:22 Uhr.