Registrieren  •  Login 
  
 
im Forum


 FAQ   Mitgliederliste   Benutzergruppen   Teamseite   Suchen 

Mein GB ist kaputt!
Gehe zu Seite Zurück  1, 2, 3  Weiter
 
Neues Thema eröffnen   Neue Antwort erstellen
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
killerbees19
Administrator & Rennleitung
Administrator & Rennleitung



OC-Nickname: KB19
Südafrika Team South Africa

Anmeldedatum: 09.05.2006
Geschlecht: Männlich
Alter: 29 Jahre
Beiträge: 13892
Wohnort: Wien

BeitragVerfasst am: 05.03.2007, 17:55    Titel:

Ich sage es nochmals: Verwende nur addslashes() oder mysql_real_escape_string() beim Einfügen in die Datenbank Wink
Die restlichen Funktionen wie nl2br() und htmlspecialchars() brauchst du erst bei der Ausgabe verwenden...

EDIT:
Was soll das überhaupt bringen? addslashes und stripslashes? Das eine macht das andere doch wieder rückgängig.... Shocked


MfG Christian
_________________


Dieser Beitrag wurde insgesamt 1 mal geändert. Zuletzt von killerbees19.
Nach oben
Benutzer-Profile anzeigen killerbees19 ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden Website dieses Benutzers besuchen
P@k.l
Ehemaliger
Ehemaliger



Anmeldedatum: 17.06.2006
Geschlecht: Männlich
Beiträge: 340
Wohnort: Köln

BeitragVerfasst am: 05.03.2007, 18:04    Titel:

killerbees19 hat Folgendes geschrieben:
EDIT:
Was soll das überhaupt bringen? addslashes und stripslashes? Das eine macht das andere doch wieder rückgängig.... Shocked

Fällt mir auch grade ein. Hätte ich rami auch sagen können, aber irgendwie bin ich heute nicht recht bei der Sache... Rolling Eyes
_________________
Nach oben
Benutzer-Profile anzeigen P@k.l ist derzeit offline Private Nachricht senden Website dieses Benutzers besuchen
rami
Mitglied
Mitglied



Anmeldedatum: 07.10.2006
Geschlecht: Männlich
Beiträge: 759

BeitragVerfasst am: 05.03.2007, 18:14    Titel:

dann lasse ich stripslashes halt weg.

edit: hat noch jemand eine idee zum eigentlichen problem?

Dieser Beitrag wurde insgesamt 1 mal geändert. Zuletzt von rami.
Nach oben
Benutzer-Profile anzeigen rami ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
fanrpg
Mitglied
Mitglied



Anmeldedatum: 14.12.2006
Geschlecht: Keine Angabe
Beiträge: 126
Wohnort: Windeck

BeitragVerfasst am: 05.03.2007, 21:25    Titel:

Dabei ist addslashes() kein sicherer Schutz vor MySQL Injectionen, nur für den Hausgebrauch geeignet, das einzige was sicher ist, ist mysql_real_escape_string($str, $db_id);
Und da gibt es auch eine automatisierte Version von Razz

PHP-Code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<?php
if( get_magic_quotes_runtime() )
{
    
set_magic_quotes_runtime(0);
    @
ini_set('magic_quotes_runtime'0);
}
/*

Verbindung zur Datenbank aufbauen....

*/

$reg_array = array('_POST''_GET''_COOKIE''_SERVER');

foreach( 
$reg_array as $id => $check )
{
    foreach($
$check as $name => $value )
    {
        if( $
$name == $value )
        {
            unset($
$name);
        }
        $
$check[$name] = mysql_real_escape_string($value$connection_id);
    }
}
?>

Dann kannst du auch $_POST direkt in den SQL Anweisungen benutzen ohne Angst vor SQL Injectionen haben zu müssen.


Generell gilt, desto weniger JS desto weniger XSS Gefahren.
Und überhaupt solltest du deine HTTP-Header kontrollieren, ohne die hätte ich dein phpmyadmin gar nicht gefunden. Rolling Eyes
Nach oben
Benutzer-Profile anzeigen fanrpg ist derzeit offline Private Nachricht senden Website dieses Benutzers besuchen
rami
Mitglied
Mitglied



Anmeldedatum: 07.10.2006
Geschlecht: Männlich
Beiträge: 759

BeitragVerfasst am: 06.03.2007, 07:01    Titel:

was den HTTP-Header betrifft, weiß ich nicht, was du meinst, bzw. wie ich es verhindere.

JS benutze ich nur bei Smilies und BBCodes.
Nach oben
Benutzer-Profile anzeigen rami ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
killerbees19
Administrator & Rennleitung
Administrator & Rennleitung



OC-Nickname: KB19
Südafrika Team South Africa

Anmeldedatum: 09.05.2006
Geschlecht: Männlich
Alter: 29 Jahre
Beiträge: 13892
Wohnort: Wien

BeitragVerfasst am: 06.03.2007, 09:08    Titel:

Wenn du mysql_real_escape_string verwendest (gegen SQL-Incetionen), htmlspecialchars bei der Ausgabe (gegen XSS), dann sollten deine Scripte für erste mal sicher sein. Wenn du eigene Header-Befehle an den Browser sendest, musst du natürlich hierbei Benutzereingaben, die im Header-Befehl vorkommen auch überprüfen.


MfG Christian
_________________
Nach oben
Benutzer-Profile anzeigen killerbees19 ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden Website dieses Benutzers besuchen
fanrpg
Mitglied
Mitglied



Anmeldedatum: 14.12.2006
Geschlecht: Keine Angabe
Beiträge: 126
Wohnort: Windeck

BeitragVerfasst am: 06.03.2007, 20:59    Titel:

http://www.andyhoppe.com/software/http-php-apache-iis-header.php4?headerurl=http://raphaelmichel.de/

Da kriegt man so ziemlich alles raus was man braucht...
Nach oben
Benutzer-Profile anzeigen fanrpg ist derzeit offline Private Nachricht senden Website dieses Benutzers besuchen
rami
Mitglied
Mitglied



Anmeldedatum: 07.10.2006
Geschlecht: Männlich
Beiträge: 759

BeitragVerfasst am: 06.03.2007, 21:11    Titel:

das kann ich gar nicht beeinflussen. Crying or Very sad das ist vom domainanbieter (udag)
Nach oben
Benutzer-Profile anzeigen rami ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
fanrpg
Mitglied
Mitglied



Anmeldedatum: 14.12.2006
Geschlecht: Keine Angabe
Beiträge: 126
Wohnort: Windeck

BeitragVerfasst am: 06.03.2007, 21:56    Titel:

Kannst aber versuchen dort andere Inhalte zu hinterlegen via header();
Nach oben
Benutzer-Profile anzeigen fanrpg ist derzeit offline Private Nachricht senden Website dieses Benutzers besuchen
rami
Mitglied
Mitglied



Anmeldedatum: 07.10.2006
Geschlecht: Männlich
Beiträge: 759

BeitragVerfasst am: 07.03.2007, 06:54    Titel:

auf rami.uttx.net schon, aber die de-domain ist nur eine weiterleitung
Nach oben
Benutzer-Profile anzeigen rami ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
fanrpg
Mitglied
Mitglied



Anmeldedatum: 14.12.2006
Geschlecht: Keine Angabe
Beiträge: 126
Wohnort: Windeck

BeitragVerfasst am: 07.03.2007, 08:06    Titel:

Nö ist sie imho nicht.
Nach oben
Benutzer-Profile anzeigen fanrpg ist derzeit offline Private Nachricht senden Website dieses Benutzers besuchen
rami
Mitglied
Mitglied



Anmeldedatum: 07.10.2006
Geschlecht: Männlich
Beiträge: 759

BeitragVerfasst am: 09.03.2007, 22:49    Titel:

hat jetzt jemand eine idee für das eigentliche problem oder muss ich woanders nachfragen? Im neuen Gästebuchstyle nervt es nähmlich noch mehr.
Nach oben
Benutzer-Profile anzeigen rami ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
killerbees19
Administrator & Rennleitung
Administrator & Rennleitung



OC-Nickname: KB19
Südafrika Team South Africa

Anmeldedatum: 09.05.2006
Geschlecht: Männlich
Alter: 29 Jahre
Beiträge: 13892
Wohnort: Wien

BeitragVerfasst am: 10.03.2007, 11:07    Titel:

Zitat:
Parse error: syntax error, unexpected ')', expecting ']' in /www/usersites/m-r/rami/pub/eintrag-einfuegen.php on line 9

Im Moment funktioniert dein Gäsebuch leider gar nicht.

Ich finde ich PHP-Code jedenfalls nichts was diesen doppelten Eintrag verursachen könnte Confused


MfG Christian
_________________
Nach oben
Benutzer-Profile anzeigen killerbees19 ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden Website dieses Benutzers besuchen
rami
Mitglied
Mitglied



Anmeldedatum: 07.10.2006
Geschlecht: Männlich
Beiträge: 759

BeitragVerfasst am: 10.03.2007, 11:23    Titel:

jetzt tut es wieder.

die aktuelle eintrag-einfuegen.php
PHP-Code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
<?php
$titel 
"G&auml;stebuch";
include(
'header.php');
$Name addslashes($_POST['Name']);
$Titel addslashes($_POST['Titel']);
$Titel str_replace("<""&lt;"$Titel);
$Titel str_replace(">""&gt;"$Titel);
$Mail addslashes($_POST['Mail']);
$Mail str_replace("<""&lt;"$Mail);
$Mail str_replace(">""&gt;"$Mail);
$hp2 addslashes($_POST['hp']);
$hp2 str_replace("<""&lt;"$hp2);
$hp2 str_replace(">""&gt;"$hp2);
$Eintrag addslashes($_POST['Eintrag']);
$Eintrag str_replace("<""&lt;"$Eintrag);
$Eintrag str_replace(">""&gt;"$Eintrag);
$DatabasePointer mysql_connect("***""***""***");
mysql_select_db("***"$DatabasePointer);
$hp $hp2;
 
if(
strtolower($_POST['Code']) == strtolower($_POST['EingegebenerCode']))
{
$SQL "INSERT INTO Gaestebuch (Datum, Name, Titel, Eintrag, mail, hp) VALUES (NOW(''), '".$Name."', '".$Titel."', '".$Eintrag."', '".$Mail."', '".$hp."')";
mysql_query($SQL$DatabasePointer);
}

if(
mysql_affected_rows($DatabasePointer) == AND strtolower($_POST['Code']) == strtolower($_POST['EingegebenerCode']) AND ereg("[.a-z0-9_-]+(.[a-z0-9_-]+)*@([0-9a-z][0-9a-z]*[0-9a-z].)+([a-z]{2,4})"$Mail))
{
?>
Vielen Dank f&uuml;r Ihren Eintrag!<br>
<a href="gb.php" class="liintern">Zum G&auml;stebuch</a>
<?php
}
else
{
?>
Beim Eintragen ist ein Fehler aufgetren.<br>
<a href="javascript:history.back();" class="liintern">Zur&uuml;ck</a>
<?php
}
?>
</body>
</html>
<?php
include('footer.php');
?>
Nach oben
Benutzer-Profile anzeigen rami ist derzeit offline Spielerprofile bei SC:Special Bewerben anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
fanrpg
Mitglied
Mitglied



Anmeldedatum: 14.12.2006
Geschlecht: Keine Angabe
Beiträge: 126
Wohnort: Windeck

BeitragVerfasst am: 10.03.2007, 19:02    Titel:

PHP-Code:
1
2
<?php $hp2 str_replace("<""<"$hp2); 
$hp2 str_replace(">"">"$hp2); 


Was hatn das fürn Sinn? Shocked
Nach oben
Benutzer-Profile anzeigen fanrpg ist derzeit offline Private Nachricht senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen Alle Zeiten sind GMT + 1 Stunde
Gehe zu Seite Zurück  1, 2, 3  Weiter
Seite 2 von 3

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht teilnehmen.
Du kannst Dateien in diesem Forum nicht hochladen.
Du kannst Dateien in diesem Forum nicht herunterladen.

 

Alle Zeiten sind GMT + 2 Stunden (Sommerzeit)
Aktuelles Datum und Uhrzeit: 30.03.2020, 08:49
Nach oben
Valid HTML 4.01 Transitional
Valid CSS!
Software based on work from the phpBB-Group  •  Deutsche Übersetzung von phpBB.de

netcup - Internetdienstleistungen
 
 
[ happytec.at | forum.happytec.at | blog.happytec.at | esports.happytec.at | event.happytec.at ]