Registrieren  •  Login 
  
 
im Forum


 FAQ   Mitgliederliste   Benutzergruppen   Teamseite   Suchen 

Mein GB ist kaputt!
Gehe zu Seite 1, 2, 3  Weiter
 
Neues Thema eröffnen   Neue Antwort erstellen
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
rami
Mitglied
Mitglied



Anmeldedatum: 07.10.2006
Geschlecht: Männlich
Beiträge: 759

BeitragVerfasst am: 03.03.2007, 22:56    Titel: Mein GB ist kaputt!

Jedes mal, wenn man sich in mein Gästebuch einträgt, wird vorher noch ein leerer Eintrag erstellt. Wie kommt dass?
Nach oben
Benutzer-Profile anzeigen rami ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
fanrpg
Mitglied
Mitglied



Anmeldedatum: 14.12.2006
Geschlecht: Keine Angabe
Beiträge: 126
Wohnort: Windeck

BeitragVerfasst am: 04.03.2007, 02:19    Titel:

Spielen wir jetzt schon Rätsel raten?

Ohne Code kann ich dir zumindest nicht helfen...
Nach oben
Benutzer-Profile anzeigen fanrpg ist derzeit offline Private Nachricht senden Website dieses Benutzers besuchen
rami
Mitglied
Mitglied



Anmeldedatum: 07.10.2006
Geschlecht: Männlich
Beiträge: 759

BeitragVerfasst am: 04.03.2007, 18:16    Titel:

Files:
Gästebuch:
http://raphaelmichel.de/supported-files/gb.phps
Eintragsformular:
http://raphaelmichel.de/supported-files/eintrag.phps
EIntragsverarbeitung:
http://raphaelmichel.de/supported-files/eintrag-einfuegen.phps
Nach oben
Benutzer-Profile anzeigen rami ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
killerbees19
Administrator & Rennleitung
Administrator & Rennleitung



OC-Nickname: KB19
Südafrika Team South Africa

Anmeldedatum: 09.05.2006
Geschlecht: Männlich
Alter: 29 Jahre
Beiträge: 13892
Wohnort: Wien

BeitragVerfasst am: 04.03.2007, 19:05    Titel:

Sind die Einträge in der Datenbank wirklich doppelt vorhanden?
Denn irgendwie ist das seltsam. Ich kann mir dein Gästebuch aber mal auf localhost installieren, falls ich den Fehler nicht gleich finde.

Folgendes solltest du übrigens ändern:
Statt $_REQUEST verwende $_POST oder $_GET Wink
Maskiere alle Eingaben mit addslashes()! Bei dir kann man ohne Probleme eine SQL-Injenction durchführen Shocked



MfG Christian
_________________


Dieser Beitrag wurde insgesamt 1 mal geändert. Zuletzt von killerbees19.
Nach oben
Benutzer-Profile anzeigen killerbees19 ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden Website dieses Benutzers besuchen
fanrpg
Mitglied
Mitglied



Anmeldedatum: 14.12.2006
Geschlecht: Keine Angabe
Beiträge: 126
Wohnort: Windeck

BeitragVerfasst am: 04.03.2007, 19:19    Titel:

Da muss ich killer recht geben...

Siehe gelinktes Image...

War 5 Min Arbeit!

Ach ja keine Panik habe nix geändert.
Nach oben
Benutzer-Profile anzeigen fanrpg ist derzeit offline Private Nachricht senden Website dieses Benutzers besuchen
rami
Mitglied
Mitglied



Anmeldedatum: 07.10.2006
Geschlecht: Männlich
Beiträge: 759

BeitragVerfasst am: 04.03.2007, 20:00    Titel:

zu killerbees19:

In der Datenbank ist nichts doppelt vorhanden.
Wenn ich aber einen Eintrag tätige, werden zwei geschrieben: meiner und ein leerer.

zu fanrpg:
hast du jetzt mein passwort und ich muss alle Angaben ändern?
und was macht man da dagegen?
Nach oben
Benutzer-Profile anzeigen rami ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
fanrpg
Mitglied
Mitglied



Anmeldedatum: 14.12.2006
Geschlecht: Keine Angabe
Beiträge: 126
Wohnort: Windeck

BeitragVerfasst am: 04.03.2007, 20:06    Titel:

Zitat:
zu fanrpg:
hast du jetzt mein passwort und ich muss alle Angaben ändern?
und was macht man da dagegen?

Ja ich habe dein Zauber Passwort Laughing , also Ja!

btw. hab was weiter studiert.. an deiner Stelle würde ich deine gesamte Webseite offline nehmen.. den so wie sie ist, ist es eine reine Fundgrube für jeden der irgendwie was hacken will. Alles kein Problem!
Nach oben
Benutzer-Profile anzeigen fanrpg ist derzeit offline Private Nachricht senden Website dieses Benutzers besuchen
killerbees19
Administrator & Rennleitung
Administrator & Rennleitung



OC-Nickname: KB19
Südafrika Team South Africa

Anmeldedatum: 09.05.2006
Geschlecht: Männlich
Alter: 29 Jahre
Beiträge: 13892
Wohnort: Wien

BeitragVerfasst am: 04.03.2007, 20:07    Titel:

rami hat Folgendes geschrieben:
hast du jetzt mein passwort und ich muss alle Angaben ändern?
und was macht man da dagegen?

Alles ändern und vielleicht sofort mal offline nehmen Wink


MfG Christian
_________________
Nach oben
Benutzer-Profile anzeigen killerbees19 ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden Website dieses Benutzers besuchen
rami
Mitglied
Mitglied



Anmeldedatum: 07.10.2006
Geschlecht: Männlich
Beiträge: 759

BeitragVerfasst am: 04.03.2007, 20:10    Titel:

geht gleich offline. ich mach nur noch schnell ein backup. wo ist denn die sicherheitslücke?

edit: seite offline. ich bitte um hilfe beim verbessern der seite.

edit2: Das neue Passwort hat 17 Zeichen. Davon mehrere Sonderzeichen. Twisted Evil

Dieser Beitrag wurde insgesamt 3 mal geändert. Zuletzt von rami.
Nach oben
Benutzer-Profile anzeigen rami ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
killerbees19
Administrator & Rennleitung
Administrator & Rennleitung



OC-Nickname: KB19
Südafrika Team South Africa

Anmeldedatum: 09.05.2006
Geschlecht: Männlich
Alter: 29 Jahre
Beiträge: 13892
Wohnort: Wien

BeitragVerfasst am: 05.03.2007, 08:27    Titel:

Zitat:
Maskiere alle Eingaben mit addslashes()! Bei dir kann man ohne Probleme eine SQL-Injenction durchführen

Du maskierst keine Eingabe. Bei SQL-Abfragen müssen Sonderzeichen wie ' und " und \ maskiert werden. Bei einer Suchabfrage sogar noch mehr Wink

Und du solltest nicht dein Datenbankpasswort in den Dateien lassen, wenn du sie verlinkst. Da muss man ja nicht einmal irgendein Wissen haben um es zu hacken. Ich dachte aber immer "das Wort" sei eh geändert und nicht das echte Passwort...

Noch ein Tipp:
Ändere alle Passwörter die mit deiner Homepage / deinem Forum / deinen Mailaccounts zu tun haben. Denn ich habe bemerkt, dass du dein DB-Passwort schon seit Monaten in den Dateien gelassen hast, die du für Support verlinkt hast. Eigentlich könnte jeder damit seit langer Zeit einige Daten geklaut haben. Also alles ändern Wink

Du solltest in Zukunft auch nicht so einfache Passwörter verwenden, egal ob für Admin-Accounts oder was auch immer. Mindestens 6 Zeichen mit Groß- und Kleinschreibung sowie Zahlen und Sonderzeichen sind Ideal. Ich persönlich verwende nur mehr 16 stellige Passwörter Wink


MfG Christian
_________________


Dieser Beitrag wurde insgesamt 1 mal geändert. Zuletzt von killerbees19.
Nach oben
Benutzer-Profile anzeigen killerbees19 ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden Website dieses Benutzers besuchen
rami
Mitglied
Mitglied



Anmeldedatum: 07.10.2006
Geschlecht: Männlich
Beiträge: 759

BeitragVerfasst am: 05.03.2007, 13:36    Titel:

heißt dass, es lag nur am Passwort?
Nach oben
Benutzer-Profile anzeigen rami ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
killerbees19
Administrator & Rennleitung
Administrator & Rennleitung



OC-Nickname: KB19
Südafrika Team South Africa

Anmeldedatum: 09.05.2006
Geschlecht: Männlich
Alter: 29 Jahre
Beiträge: 13892
Wohnort: Wien

BeitragVerfasst am: 05.03.2007, 15:00    Titel:

rami hat Folgendes geschrieben:
heißt dass, es lag nur am Passwort?

Jein. Ich diesem Fall haben wir Zugriff auf deine DB bekommen, weil du das Passwort in den verlinkten Dateien drinnen hattest. Aber mit den Injection-Sicherheitslücken kann man auch viel anderes anstellen. Ob du einen ausreichenden Schutz gegen XSS hast weiß ich auch nicht.

Also meine Tipps sind wirklich:
Stelle nicht dein Passwort in Dateien zur Verfügung, sollte eigentlich klar sein.
Besorg dir gute PHP-Bücher die sich auch mit dem Thema sicheres Programmieren beschäftigen. Denn gerade im Umgang mit Datenbanken muss man sehr vorsichtig sein. Gute Bücher findest du übrigens hier. Gerade das Buch "PHP-Sicherheit" empfehle ich dir enorm. Aber auch in einigen anderen Büchern werden alle einfachen Sicherheitsrelevanten Themen besprochen, wie im Buch "PHP 5 & MySQL 5 Komendium". Ich empfehle dir jedenfalls wirklich ein Buch, denn leider wird in fast allen Online-Tutorials immer vergessen zu erwähnen, dass man spezielle Funktionen verwenden muss, um eine sichere Anwendung zu haben.

Diskussionsthema zur PHP-Sicherheit:
https://www.forum.happytec.at/viewtopic.php?t=604


MfG Christian
_________________
Nach oben
Benutzer-Profile anzeigen killerbees19 ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden Website dieses Benutzers besuchen
rami
Mitglied
Mitglied



Anmeldedatum: 07.10.2006
Geschlecht: Männlich
Beiträge: 759

BeitragVerfasst am: 05.03.2007, 16:52    Titel:

kann mir jemand helfen? das mit den SQL-Injektionen kann ich aus dem Thema PHP-Sicherheit nehmen. Aber das andere !?? versteh ich halt nciht. und ich möchte meine homepage online haben und nicht erst wochen auf dieses buch sparen.

Dieser Beitrag wurde insgesamt 1 mal geändert. Zuletzt von rami.
Nach oben
Benutzer-Profile anzeigen rami ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
killerbees19
Administrator & Rennleitung
Administrator & Rennleitung



OC-Nickname: KB19
Südafrika Team South Africa

Anmeldedatum: 09.05.2006
Geschlecht: Männlich
Alter: 29 Jahre
Beiträge: 13892
Wohnort: Wien

BeitragVerfasst am: 05.03.2007, 17:48    Titel:

rami hat Folgendes geschrieben:
versteh ich halt nciht. und ich möchte meine homepage online haben und nicht erst wochen auf dieses buch sparen.

Bevor man sich an PHP-Scripte wagt, die Benutzereingaben verwalten, sollte man schon die Grundbegriffe kennen, die zu einer sicheren Programmierung gehören. Es bringt nichts, wenn jetzt alles mit lauter Sicherheitslücken online ist Wink

Wie im anderen Thread geschrieben: Verwende einmal überall addslashes() oder mysql_real_escape_string(). Ich persönliche verwende immer das zweite. Die restlichen Dinge wendest du einfach bei der Ausgabe der Daten an, also wo sie angezeigt werden verwendest du dann nl2br() und htmlentities() oder htmlspecialchars().


MfG Christian
_________________
Nach oben
Benutzer-Profile anzeigen killerbees19 ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden Website dieses Benutzers besuchen
rami
Mitglied
Mitglied



Anmeldedatum: 07.10.2006
Geschlecht: Männlich
Beiträge: 759

BeitragVerfasst am: 05.03.2007, 17:50    Titel:

so gut?
PHP-Code:
1
2
3
<?php
$Name 
nl2br(stripslashes(htmlspecialchars(addslashes($_POST['Name']))));
?>


Da P@k.l im MSN meinte, so ginge es, ist die HP wieder online.
Nach oben
Benutzer-Profile anzeigen rami ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen Alle Zeiten sind GMT + 1 Stunde
Gehe zu Seite 1, 2, 3  Weiter
Seite 1 von 3

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht teilnehmen.
Du kannst Dateien in diesem Forum nicht hochladen.
Du kannst Dateien in diesem Forum nicht herunterladen.

 

Alle Zeiten sind GMT + 2 Stunden (Sommerzeit)
Aktuelles Datum und Uhrzeit: 30.03.2020, 09:23
Nach oben
Valid HTML 4.01 Transitional
Valid CSS!
Software based on work from the phpBB-Group  •  Deutsche Übersetzung von phpBB.de

netcup - Internetdienstleistungen
 
 
[ happytec.at | forum.happytec.at | blog.happytec.at | esports.happytec.at | event.happytec.at ]