Ankündigung

Einklappen
Keine Ankündigung bisher.

Yunio CMS

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Scriptangebot Yunio CMS

    Halli Hallo lieber PHP-Community!
    Ich biete euch hier mein erstes, fertiggestelltes CMS an, denn alle anderen die ich angefangen habe sind nie fertig geworden, ob es an der Lust oder an meinen Kenntnissen lag

    Das CMS ist relativ einfach zu verwalten, Module lassen sich anlegen und verändern, sprich: Der Quellcode liegt frei verfügbar.

    Informationen
    Wie lange habe ich gebraucht: 1 Monat, 2 Tage
    Wer hat mir geholfen: Niemand, ich war und bin alleine

    Das CMS ist relativ schnell und einfach zu bedienen, im gegensatz zu anderen Systemen. Wenn man sich einmal heringearbeitet hat, ist es einfach nur ein Kinderspiel!

    Informationen & Download:
    Yunio CMS : Jetzt verfügbar!

    Grüße, Kevin

  • #2
    Hey, ich hab deinen Code mal überflogen. Admincenter scheint ja gar nicht vor SQL Injection geschützt zu sein. Des weitern bei register_globals = On kann man beliebigen Code ausführen da du eval() verwendest und zum einen eine nicht initialisierte Variable verwendest und zusätzlich die Daten noch aus der Datenbank lädst.

    Willst du sowas wirklich jemandem empfehlen?

    Kommentar


    • #3
      asd

      Kommentar


      • #4
        Was hat es mit den initialisierten Variablen auf sich?
        Und zu dem eval, könnt ihr mir tips geben?


        Kevin

        Edit:
        Was meinst du mit ´total ungeschützt´?
        Ich habe das soweit ich weiß geschützt, kannst du mir die Codezeile zitieren?

        Kommentar


        • #5
          Problem bei unitialisierten Variablen: wenn register_globals aktiviert ist kannst du $var_content vorbelegen:

          Code:
          /index.php?var_content=<?php tu_was_boeses(); ?>&page_id=5
          Dann wird zwar später noch was an $var_content angehängt aber er wird trotzdem durch eval() ausgeführt und beliebiger PHP Code könnte eingeschleust werden. Zwar wird register_globals normal auf off gestellt, aber darauf sollte sich dein System nicht verlassen.

          eval() am besten gar nicht benutzen! Auf manchen Systemen ist eval() auch deaktiviert dann funktioniert dein System gar nicht erst. NIE PHP Code in die Datenbank legen! Das sollte NIE die Lösung sein.

          Ungeschützt: /admin/module/module_benutzer_verwalten.php
          PHP-Code:
          $edit mysql_query("UPDATE ".$prefix."users SET
                                                                  name = '
          $_POST[username]',
                                                                  email = '
          $_POST[email]',
                                                                  active = '
          $_POST[status]',
                                                                  admin = '
          $_POST[rang]',
                                                                  usergroup = '
          $_POST[usergroup]' WHERE id = '$_GET[settings]'"); 
          => SQL Injection vom feinsten möglich.

          PHP-Code:
          $user_inf $db->get($prefix."users""id = '$_GET[delete]'"); 
          PHP-Code:
          $add_user $db->insert($prefix."users""name, email, active, admin, usergroup""'$_POST[username]', '$_POST[email]', '$_POST[status]', '$_POST[rang]', '$_POST[usergroup]'"); 
          Fast jede SQL Abfrage ist ungeschützt.

          Kommentar


          • #6
            Kannst du bitte eine online-Demo einrichten wo man sich das anshen kann ?
            (Den Adminbereich usw)
            Signatur:
            PHP-Code:
            $s '0048656c6c6f20576f726c64';
            while(
            $i=substr($s=substr($s,2),0,2))echo"&#x00$i;"

            Kommentar


            • #7
              lustig ... aktuelle version runtergeladen ...

              ... Warning: include(./files/config.inc.php) [function.include]: failed to open stream: No such file or directory in D:\Programme\xampplite\htdocs\yunio_cms_1-1-9\index.php on line 14
              Ich würde so gern die Welt verändern doch Gott gibt mir den Quellcode nicht.
              Compiler sind wie Franzosen.. schnauzen einen immer nur an, wenn man ihre Sprache nich perfekt spricht.

              Kommentar


              • #8
                Zitat von Codercrush Beitrag anzeigen
                lustig ... aktuelle version runtergeladen ...

                ... Warning: include(./files/config.inc.php) [function.include]: failed to open stream: No such file or directory in D:\Programme\xampplite\htdocs\yunio_cms_1-1-9\index.php on line 14
                Bevor du dich hier über etwas lustig machst, prüf mal lieber deine PHP-Konfiguration. Zudem du scheinbar nur die halbe Fehlermeldung gelesen und hier gepostet hast.

                Die Fehlermeldung sagt bereits aus, das sich die Datei, welche includiert werden soll, nicht in dem erlaubten Include-Pfad befindet. Dies hat rein gar nix mit dem Script selber zu tun sondern mit deiner PHP-Einstellung!

                Ansonsten kann ich mich nur meinen Vorrednern anschliessen und dem Ersteller dazu raten kein "eval()" zu nutzen und PHP-Coder nicht in die Datenbank zu legen!

                Kommentar


                • #9
                  Ich würd schon gehaupten dass das mit dem Skript zutun hat. Die Datei existiert einfach nicht. Diese sollte bei der Installation erstellt werden, warum sie nicht installiert wurde kann zum Beispiel an fehlenden Schreibrechten liegen. Daher würde ich schon behaupten das Skript prüft nicht ob die Datei erstellt werden kann oder ob die Datei dann erfolgreich gespeichert wurde.

                  Mit PHP Einstellungen hat das nichts zutun.

                  Kommentar


                  • #10
                    Mhhh Sorry stimmt die war nicht vorhanden... Nunja kleiner Fehler meinserseit für den ich mich auch entschuldige... hatte dem Ordner "files" schon vorher schreibrechte gegeben, da ich im Install-Script sah das er dort ne Datei anlegen will.

                    Somit kommen wir zu einem Mako der mir etwas auftösst... Fehlende Doku welche die Vorschritte enthält, damit auch normale User wissen welchen Ordnen sie Rechte geben sollten.

                    Kommentar


                    • #11
                      Es würde auch reichen während der Installation anzuzeigen dass der Ordner Schreibrechte braucht falls diese noch nicht vorhanden sind und notfalls die config.php zum download anzubieten.

                      Kommentar


                      • #12
                        Ja, die fehlende Doku unterstreiche ich (oder ich habe sie wirklich nicht gefunden). Nach 'ner halben Stunde hatte ich zwar das meiste herausbekommen (von fehlenden Schreibrechten bei Installation bis zur Logik bei der Erstellung von Templates), aber ich glaube, für einen "normalen Anwender" wäre das derzeit eine kaum überwindbare Hürde. (Ohne arrogant klingen zu wollen. )

                        Kommentar


                        • #13
                          Hab da mal ne Frage:
                          Gibts nen Ersatz für eval()? Ich werde den Content der Seiten sicherlich nicht alle in Dateien speichern.

                          Kommentar


                          • #14
                            Es hat ja auch keiner gesagt das du den Content in Dateien auslagern sollst, es war nur die Rede davon, dass PHP-Code nix in der Datenbank zu suchen hat, denn dann braucht man auch das "böse" eval() nicht einzusetzen.

                            Kommentar


                            • #15
                              Ja - das weiß ich ja auch So schlau bin ich auch schon. Danke, aber wenn ich einen Inhalt anlege, und dort PHP Code vorhanden ist, wie soll ich es anders machen? Man soll auch dort seine eigene scripts einsetzten können.

                              Kommentar

                              Lädt...
                              X