Yunio CMS

MiST3R-FL4SH · 14.05.2010, 09:21

Halli Hallo lieber PHP-Community!
Ich biete euch hier mein erstes, fertiggestelltes CMS an, denn alle anderen die ich angefangen habe sind nie fertig geworden, ob es an der Lust oder an meinen Kenntnissen lag

Das CMS ist relativ einfach zu verwalten, Module lassen sich anlegen und verändern, sprich: Der Quellcode liegt frei verfügbar.

Informationen
Wie lange habe ich gebraucht: 1 Monat, 2 Tage
Wer hat mir geholfen: Niemand, ich war und bin alleine

Das CMS ist relativ schnell und einfach zu bedienen, im gegensatz zu anderen Systemen. Wenn man sich einmal heringearbeitet hat, ist es einfach nur ein Kinderspiel!

Informationen & Download:
Yunio CMS : Jetzt verfügbar!

Grüße, Kevin

Flor1an · 14.05.2010, 15:06

Hey, ich hab deinen Code mal überflogen. Admincenter scheint ja gar nicht vor SQL Injection geschützt zu sein. Des weitern bei register_globals = On kann man beliebigen Code ausführen da du eval() verwendest und zum einen eine nicht initialisierte Variable verwendest und zusätzlich die Daten noch aus der Datenbank lädst.

Willst du sowas wirklich jemandem empfehlen?

Auranores · 14.05.2010, 20:47

hey hehehe

ich hab mir das mal angeschaut und kann meinem vorgänger nur zustimmen, ziemlich zweifelhaft das ganze :S

MiST3R-FL4SH · 15.05.2010, 23:11

Was hat es mit den initialisierten Variablen auf sich?
Und zu dem eval, könnt ihr mir tips geben?

Kevin

Edit:
Was meinst du mit ´total ungeschützt´?
Ich habe das soweit ich weiß geschützt, kannst du mir die Codezeile zitieren?

Flor1an · 16.05.2010, 10:46

Problem bei unitialisierten Variablen: wenn register_globals aktiviert ist kannst du $var_content vorbelegen:

Code:

/index.php?var_content=<?php tu_was_boeses(); ?>&page_id=5

Dann wird zwar später noch was an $var_content angehängt aber er wird trotzdem durch eval() ausgeführt und beliebiger PHP Code könnte eingeschleust werden. Zwar wird register_globals normal auf off gestellt, aber darauf sollte sich dein System nicht verlassen.

eval() am besten gar nicht benutzen! Auf manchen Systemen ist eval() auch deaktiviert dann funktioniert dein System gar nicht erst. NIE PHP Code in die Datenbank legen! Das sollte NIE die Lösung sein.

Ungeschützt: /admin/module/module_benutzer_verwalten.php

PHP-Code:

  $edit = mysql_query("UPDATE ".$prefix."users SET
                                                        name = '$_POST[username]',
                                                        email = '$_POST[email]',
                                                        active = '$_POST[status]',
                                                        admin = '$_POST[rang]',
                                                        usergroup = '$_POST[usergroup]' WHERE id = '$_GET[settings]'");

=> SQL Injection vom feinsten möglich.

PHP-Code:

  $user_inf = $db->get($prefix."users", "id = '$_GET[delete]'");

PHP-Code:

  $add_user = $db->insert($prefix."users", "name, email, active, admin, usergroup", "'$_POST[username]', '$_POST[email]', '$_POST[status]', '$_POST[rang]', '$_POST[usergroup]'");

Fast jede SQL Abfrage ist ungeschützt.

ByStones · 16.05.2010, 16:39

Kannst du bitte eine online-Demo einrichten wo man sich das anshen kann ?
(Den Adminbereich usw)

Codercrush · 17.05.2010, 10:58

lustig ... aktuelle version runtergeladen ...

... Warning: include(./files/config.inc.php) [function.include]: failed to open stream: No such file or directory in D:\Programme\xampplite\htdocs\yunio_cms_1-1-9\index.php on line 14

CPCoder · 17.05.2010, 11:33

Zitat:

Zitat von Codercrush

lustig ... aktuelle version runtergeladen ...

... Warning: include(./files/config.inc.php) [function.include]: failed to open stream: No such file or directory in D:\Programme\xampplite\htdocs\yunio_cms_1-1-9\index.php on line 14

Bevor du dich hier über etwas lustig machst, prüf mal lieber deine PHP-Konfiguration. Zudem du scheinbar nur die halbe Fehlermeldung gelesen und hier gepostet hast.

Die Fehlermeldung sagt bereits aus, das sich die Datei, welche includiert werden soll, nicht in dem erlaubten Include-Pfad befindet. Dies hat rein gar nix mit dem Script selber zu tun sondern mit deiner PHP-Einstellung!

Ansonsten kann ich mich nur meinen Vorrednern anschliessen und dem Ersteller dazu raten kein "eval()" zu nutzen und PHP-Coder nicht in die Datenbank zu legen!

Flor1an · 17.05.2010, 11:38

Ich würd schon gehaupten dass das mit dem Skript zutun hat. Die Datei existiert einfach nicht. Diese sollte bei der Installation erstellt werden, warum sie nicht installiert wurde kann zum Beispiel an fehlenden Schreibrechten liegen. Daher würde ich schon behaupten das Skript prüft nicht ob die Datei erstellt werden kann oder ob die Datei dann erfolgreich gespeichert wurde.

Mit PHP Einstellungen hat das nichts zutun.

CPCoder · 17.05.2010, 11:56

Mhhh Sorry stimmt die war nicht vorhanden... Nunja kleiner Fehler meinserseit für den ich mich auch entschuldige... hatte dem Ordner "files" schon vorher schreibrechte gegeben, da ich im Install-Script sah das er dort ne Datei anlegen will.

Somit kommen wir zu einem Mako der mir etwas auftösst... Fehlende Doku welche die Vorschritte enthält, damit auch normale User wissen welchen Ordnen sie Rechte geben sollten.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
CMS bzw Board einbauen?	gombi	Scriptbörse	12	28.04.2010 15:44
PHP CMS PEAR Musikseite	R24	Gewerblich	0	28.04.2010 07:40
Was braucht ein gutes CMS	Lollix	Off-Topic Diskussionen	33	03.03.2010 17:51
Scriptsuche CMS für ein Magazin	ProWeb	Scriptbörse	24	28.01.2010 20:25
Login Script / CMS	bikone	PHP Tipps 2009	14	31.10.2009 23:33
Scriptsuche [Erledigt] Suche CMS für Clan / Community	dontworry	Scriptbörse	11	26.10.2009 20:07
Clan CMS	Exi	Off-Topic Diskussionen	2	16.09.2009 14:30
Was muss ein gutes CMS können?	beckerCodes	Software-Design	33	14.09.2009 11:44
Eigenes CMS	Moep	PHP Tipps 2009	12	06.08.2009 23:00
Cms	Yusuf	Scriptbörse	9	30.07.2009 19:14
Open Source CMS: wer macht mit?	chris14465	Beitragsarchiv	6	24.06.2009 17:02
Dreamproject [S] CMS evtl. Feststellangebot	vnBiT.sys	Beitragsarchiv	4	25.04.2009 10:51
Modulares CMS programmieren	NikB	PHP-Fortgeschrittene	7	14.04.2009 22:41
[S] erfahrene Coder für eigenes CMS	DarkSky25	Beitragsarchiv	14	31.03.2009 12:06
CMS mit Framework	KeKs0r	PHP-Fortgeschrittene	11	27.12.2008 23:03

14.05.2010, 09:21
MiST3R-FL4SH Benutzer Registriert seit: 29.01.2010 Beiträge: 35 PHP-Kenntnisse: Fortgeschritten	Yunio CMS Halli Hallo lieber PHP-Community! Ich biete euch hier mein erstes, fertiggestelltes CMS an, denn alle anderen die ich angefangen habe sind nie fertig geworden, ob es an der Lust oder an meinen Kenntnissen lag Das CMS ist relativ einfach zu verwalten, Module lassen sich anlegen und verändern, sprich: Der Quellcode liegt frei verfügbar. Informationen Wie lange habe ich gebraucht: 1 Monat, 2 Tage Wer hat mir geholfen: Niemand, ich war und bin alleine Das CMS ist relativ schnell und einfach zu bedienen, im gegensatz zu anderen Systemen. Wenn man sich einmal heringearbeitet hat, ist es einfach nur ein Kinderspiel! Informationen & Download: Yunio CMS : Jetzt verfügbar! Grüße, Kevin


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

14.05.2010, 15:06
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Hey, ich hab deinen Code mal überflogen. Admincenter scheint ja gar nicht vor SQL Injection geschützt zu sein. Des weitern bei register_globals = On kann man beliebigen Code ausführen da du eval() verwendest und zum einen eine nicht initialisierte Variable verwendest und zusätzlich die Daten noch aus der Datenbank lädst. Willst du sowas wirklich jemandem empfehlen?

14.05.2010, 20:47
Auranores Benutzer Registriert seit: 31.12.2009 Beiträge: 76 PHP-Kenntnisse: Fortgeschritten	hey hehehe ich hab mir das mal angeschaut und kann meinem vorgänger nur zustimmen, ziemlich zweifelhaft das ganze :S

15.05.2010, 23:11
MiST3R-FL4SH Benutzer Registriert seit: 29.01.2010 Beiträge: 35 PHP-Kenntnisse: Fortgeschritten	Was hat es mit den initialisierten Variablen auf sich? Und zu dem eval, könnt ihr mir tips geben? Kevin Edit: Was meinst du mit ´total ungeschützt´? Ich habe das soweit ich weiß geschützt, kannst du mir die Codezeile zitieren?

16.05.2010, 10:46
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Problem bei unitialisierten Variablen: wenn register_globals aktiviert ist kannst du $var_content vorbelegen: Code: /index.php?var_content=<?php tu_was_boeses(); ?>&page_id=5 Dann wird zwar später noch was an $var_content angehängt aber er wird trotzdem durch eval() ausgeführt und beliebiger PHP Code könnte eingeschleust werden. Zwar wird register_globals normal auf off gestellt, aber darauf sollte sich dein System nicht verlassen. eval() am besten gar nicht benutzen! Auf manchen Systemen ist eval() auch deaktiviert dann funktioniert dein System gar nicht erst. NIE PHP Code in die Datenbank legen! Das sollte NIE die Lösung sein. Ungeschützt: /admin/module/module_benutzer_verwalten.php PHP-Code: $edit = mysql_query("UPDATE ".$prefix."users SET name = '$_POST[username]', email = '$_POST[email]', active = '$_POST[status]', admin = '$_POST[rang]', usergroup = '$_POST[usergroup]' WHERE id = '$_GET[settings]'"); => SQL Injection vom feinsten möglich. PHP-Code: `$user_inf = $db->get($prefix."users", "id = '$_GET[delete]'");` PHP-Code: `$add_user = $db->insert($prefix."users", "name, email, active, admin, usergroup", "'$_POST[username]', '$_POST[email]', '$_POST[status]', '$_POST[rang]', '$_POST[usergroup]'");` Fast jede SQL Abfrage ist ungeschützt.

16.05.2010, 16:39
ByStones Erfahrener Benutzer Registriert seit: 23.03.2010 Beiträge: 626 PHP-Kenntnisse: Anfänger	Kannst du bitte eine online-Demo einrichten wo man sich das anshen kann ? (Den Adminbereich usw)

17.05.2010, 10:58
Codercrush Benutzer Registriert seit: 18.02.2010 Beiträge: 54 PHP-Kenntnisse: Fortgeschritten	lustig ... aktuelle version runtergeladen ... ... Warning: include(./files/config.inc.php) [function.include]: failed to open stream: No such file or directory in D:\Programme\xampplite\htdocs\yunio_cms_1-1-9\index.php on line 14 __________________ Ich würde so gern die Welt verändern doch Gott gibt mir den Quellcode nicht. Compiler sind wie Franzosen.. schnauzen einen immer nur an, wenn man ihre Sprache nich perfekt spricht.

17.05.2010, 11:38
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Ich würd schon gehaupten dass das mit dem Skript zutun hat. Die Datei existiert einfach nicht. Diese sollte bei der Installation erstellt werden, warum sie nicht installiert wurde kann zum Beispiel an fehlenden Schreibrechten liegen. Daher würde ich schon behaupten das Skript prüft nicht ob die Datei erstellt werden kann oder ob die Datei dann erfolgreich gespeichert wurde. Mit PHP Einstellungen hat das nichts zutun.

17.05.2010, 11:56
CPCoder Erfahrener Benutzer Registriert seit: 18.01.2009 Beiträge: 128 PHP-Kenntnisse: Fortgeschritten	Mhhh Sorry stimmt die war nicht vorhanden... Nunja kleiner Fehler meinserseit für den ich mich auch entschuldige... hatte dem Ordner "files" schon vorher schreibrechte gegeben, da ich im Install-Script sah das er dort ne Datei anlegen will. Somit kommen wir zu einem Mako der mir etwas auftösst... Fehlende Doku welche die Vorschritte enthält, damit auch normale User wissen welchen Ordnen sie Rechte geben sollten.