litterauspirna

Na da kannst mal schauen,aber sagen wir mal so es hatte was positives,ich habe viel neues dazu gelernt,jedoch bin ich noch lange nicht am Ende.

Nikoschs Wink mit dem Zaunspfahl

__________________
Aus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir.
http://www.lit-web.de

Mister Ad

djscaleo

Nur weil ich anderen die möglichkeit geben will, ein cms proggen zu können?

Ich kann das ja gerne auch hier in nen ganz normales Thread schreiben...
Ich beschreib ja nur die Grundlagen...

Bei Wiki siehts aber besser aus...

Oder ich biete direkt das SkyCMS zum Download an...


Nikoschs Wink mit dem Zaunspfahl ?????????


Außerdem war ja auch nicht nur CMS zur rede sondern auch anders ... ua ein Shop, und der Funktioniert mittlerweile kommplett... ich arbeite nur noch daran, das jeder User Produkte reinstellen kann und die Rechnungen dafür gesplitet werden...

GelaMu

Hallo djscaleo,

ich glaube da muss noch einiges gefiltert/validiert werden: Gymnasium - August-Dicke-Schule :: Solingen
Vielleicht mal auf das Vorkommen von ".." prüfen, oder noch besser: mach es so, dass du keine Dateinamen übergibst, sondern einfach den Namen des Moduls, wie z.B. "site=guestbook". Und im Script sagst du sowas wie:

nikosch

Autsch.

__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--

djscaleo

Also erst mal dankefür den Tip.
Früher war das mal so, aber ich find das eigentlich so besser...normaler weise kommt dann ein error 404 wenn es dieSeite nicht gibt... in der index.php steht direkt ganz oben session() und nen includebefehl die am Anfang der Seite stehen müssen und deshalb beim includieren probleme machen...

Für andere CMS wäre das so wie oben eigentlich besser...

Aber danke für den Tipp

nikosch

Dieser "Tipp" ist ein Sicherheitsleck. Faktisch kann man damit - entsprechende Serverkonfiguration vorausgesetzt - beliebige Dateien includen. Das ist kein Feature, sondern ein Angriffsvektor. Das solltest Du berücksichtigen.

__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--

GelaMu

Also, mit sowas "gefährlichem" wie ein Shop solltest du dir wirklich viel Zeit lassen. Da spielst du immerhin mit den Daten anderer Menschen, und die sollten immer seeehr gut geschützt sein, und um diesen Schutz mehr oder weniger zu garantieren, musst du viel Erfahrung in PHP haben. Nicht böse gemeint

djscaleo

Schonmal was von Blowfish gehört??? Nur wenn man den code hat, kann man entschlüsseln, und da kann man dann auch für jede Variable nen eigenen Code nehmen und doppelt und dreifach verschlüsseln...

GelaMu

Keine Ursache.
Grundsätzlich solltest du daran denken, dass alles, was von außen kommt, böse ist, und so wenig wie möglich über das System/CMS preis geben. Wie gesagt, mach dir doch mal die Mühe und erweitere es so, dass nur der Name des Moduls übergeben wird, und das dieser gefiltert wird. Und diese Meldung über 404 scheint mir auch falsch. Stattdessen wäre die Meldung, dass das Modul nicht existiert, meiner Meinung nach richtiger.

P.S. Ich sehe gerade, dass das alles nicht in dein Thema passt. Ich werd mal aufhören mit dem Offtop. Sorry an dieser Stelle ^)