| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
csde_rats
Anmeldungsdatum: 07.01.2007
Beiträge: 2292
Wohnort: Zwischen Sessel und Tastatur
|
|
| Nach oben |
|
 |
csde_rats
Anmeldungsdatum: 07.01.2007
Beiträge: 2292
Wohnort: Zwischen Sessel und Tastatur
|
 Verfasst am: 11.06.2007, 16:52 Titel: |
 |
|
offizielle Pressemitteilung von csde_rats (   )
ne, nix da.
also:
der fehler war, dass man einfach sich selbst ohne weiteres eine eigene Session erstellen konnte. Gefixt.[/b]
_________________
If hilfreicher_Beitrag then klick(location.here)
Klick |
|
| Nach oben |
|
|
Jojo
alter Rang
Anmeldungsdatum: 12.02.2005
Beiträge: 9736
Wohnort: Neben der Festplatte
|
| Verfasst am: 11.06.2007, 17:11 Titel: |
|
|
| csderats hat Folgendes geschrieben: | | hm? aber für alle diese methoden bräuchte man doch read/write zugriff... und denn hat man ja nicht... |
nein. du kannst z.B. ganz einfach per include $dateiname; php-dateien von fremden seiten includen. im normalfall geht das natürlich nicht, weil nur der owner die öffnen kann. virenprogrammierer geben natürlich rechte an außenstehende, damit die scripts auf fremde sites eingebunden werden können...
probleme hättest du auch mit file_get_contents... da könnte gefährlicher javascript-source eingeschleust werden... oder activeX (InternetExplorer)...oder halt alles, was schädlich ist.
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.
 |
|
| Nach oben |
|
|
csde_rats
Anmeldungsdatum: 07.01.2007
Beiträge: 2292
Wohnort: Zwischen Sessel und Tastatur
|
| Verfasst am: 11.06.2007, 17:17 Titel: |
|
|
ja schon, aba es ist ja nicht so, dass wenn action=virus.php dann einfach so include $_GET['action']; gemacht wird. sondern es wird das pw abgefragt, da es diese action nicht gibt.
_________________
If hilfreicher_Beitrag then klick(location.here)
Klick |
|
| Nach oben |
|
|
nemored
Anmeldungsdatum: 22.02.2007
Beiträge: 4704
Wohnort: ~/
|
| Verfasst am: 11.06.2007, 17:19 Titel: |
|
|
Ich halte Formmailer - und jedes Skript, das E-Mails verschickt - grundsätzlich erst einmal für sehr gefährlich. Deswegen halte ich bei mir in jedem E-Mail verschickendem Skript der Header fix. Sämtliche Informationen über den Absender - also z. B. auch E-Mail-Adresse - kann genauso gut in den regulären Nachrichtentext mit eingebunden werden. (In das FROM könnte ich es sowieso nicht hineinschreiben, weil es sonst mein Hoster blocken würde)
_________________
Deine Chance beträgt 1:1000. Also musst du folgendes tun: Vergiss die 1000 und konzentriere dich auf die 1. |
|
| Nach oben |
|
|
csde_rats
Anmeldungsdatum: 07.01.2007
Beiträge: 2292
Wohnort: Zwischen Sessel und Tastatur
|
|
| Nach oben |
|
|
Jojo
alter Rang
Anmeldungsdatum: 12.02.2005
Beiträge: 9736
Wohnort: Neben der Festplatte
|
| Verfasst am: 11.06.2007, 17:50 Titel: |
|
|
nö ,eigenltich nicht. ich finde es selbstversätndlich, sowas zu benutzen. ist besonders praktisch, weil nicht jeder (ja, man glaubt es kaum) eine email-adresse hat. und meinen form-mailer kann man auch nicht missbrauchen, da er grundsätzlihc nur mails an meine eigenen email-adresse schicken kann.
EDIT:
btw: sowas wie index.php?action=dsa zu vwenden und dann per IF abzufragen, welche action gewünscht ist, find ich einfach stupide. dann kannste auch gleich auf dsa.php verlinken... PHP soll das ganze schließlich dynmaisch machen, was aber durch solche abfragen nicht der fall ist. ich include einfach die abgefragten parameter (bzw, ich parse sie vorher)... hier besteht allerdings keine source-injection-gefahr, da ich alle skripte in einem unterornder liegen kann... und index.php?page=http://virenseite.de würde dann auf /ordner/http://virenseite.de verlinken, was nunmal nicht geht.
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.
|
|
| Nach oben |
|
|
csde_rats
Anmeldungsdatum: 07.01.2007
Beiträge: 2292
Wohnort: Zwischen Sessel und Tastatur
|
| Verfasst am: 11.06.2007, 17:57 Titel: |
|
|
wenn man son ding wirklich sorgfältig schreibt, ist auch nichts dagegen einzuwenden....
.... mal eine andere Sache:
| Code: |
<?php
$logdatei=fopen("logs/logfile.txt","a");
fputs($logdatei,
date("d.m.Y, H:i:s",time()) .
", " . $REMOTE_ADDR .
", " . $REQUEST_METHOD .
", " . $PHP_SELF .
", " . $HTTP_USER_AGENT .
", " . $HTTP_REFERER ."\n"
);
fclose($logdatei);
?>
|
das ist ein logger. aber eigentlich sollte doch nach jedem geolggten aufruf ein zeilenumbruch sein?! da is' aber keiner!!! was mache ich falsch?
/edit:
schon gelöst  :
| Code: |
<?php
$logdatei=fopen("logs/logfile.html","a");
fputs($logdatei,
date("d.m.Y, H:i:s",time()) .
", " . $REMOTE_ADDR .
", " . $REQUEST_METHOD .
", " . $PHP_SELF .
", " . $HTTP_USER_AGENT .
", " . $HTTP_REFERER .
"<br>"
);
fclose($logdatei);
?>
|
jetzt wird ne html-datei erzeugt, die zwar den schlechtesten richtlienien nicht genügt, aber für diese zwecke ausreicht...
/edit²:
man muss die datei manuell erstellen + das hier reinkopieren:
| Code: |
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=windows-1250">
<meta name="generator" content="PSPad editor, www.pspad.com">
<title></title>
</head>
<body>
|
_________________
If hilfreicher_Beitrag then klick(location.here)
Klick |
|
| Nach oben |
|
|
Mao
Anmeldungsdatum: 25.09.2005
Beiträge: 4409
Wohnort: /dev/hda1
|
| Verfasst am: 11.06.2007, 17:59 Titel: |
|
|
Ich würd an deiner Stelle darauf hinweisen, dass Daten geloggt werden - am Besten, bevor das Loggen passiert. 
_________________
Eine handvoll Glück reicht nie für zwei.
--
 |
|
| Nach oben |
|
|
nemored
Anmeldungsdatum: 22.02.2007
Beiträge: 4704
Wohnort: ~/
|
| Verfasst am: 11.06.2007, 17:59 Titel: |
|
|
| Zitat: | | hier besteht allerdings keine source-injection-gefahr, da ich alle skripte in einem unterornder liegen kann... und index.php?page=http://virenseite.de würde dann auf /ordner/http://virenseite.de verlinken, was nunmal nicht geht. |
So mache ich das auch 
_________________
Deine Chance beträgt 1:1000. Also musst du folgendes tun: Vergiss die 1000 und konzentriere dich auf die 1. |
|
| Nach oben |
|
|
Jojo
alter Rang
Anmeldungsdatum: 12.02.2005
Beiträge: 9736
Wohnort: Neben der Festplatte
|
| Verfasst am: 11.06.2007, 17:59 Titel: |
|
|
das ist auch keine html-datei, das is plain text. speicher's doch einfach als .txt oder .log... 
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.
|
|
| Nach oben |
|
|
csde_rats
Anmeldungsdatum: 07.01.2007
Beiträge: 2292
Wohnort: Zwischen Sessel und Tastatur
|
| Verfasst am: 11.06.2007, 18:00 Titel: |
|
|
| Jojo hat Folgendes geschrieben: | | das ist auch keine html-datei, das is plain text. speicher's doch einfach als .txt oder .log... |
irgendwie sind dann aber keine zeilenumbrüche drin - k.A. warum...
/€dit: und magic sagte: Das muss man bewundern...
.... 3 posts in einer minute
_________________
If hilfreicher_Beitrag then klick(location.here)
Klick |
|
| Nach oben |
|
|
nemored
Anmeldungsdatum: 22.02.2007
Beiträge: 4704
Wohnort: ~/
|
| Verfasst am: 11.06.2007, 18:02 Titel: |
|
|
Ich logge sogar noch lieber in eine php-Datei, die mit der Zeile
beginnt ...
_________________
Deine Chance beträgt 1:1000. Also musst du folgendes tun: Vergiss die 1000 und konzentriere dich auf die 1. |
|
| Nach oben |
|
|
Jojo
alter Rang
Anmeldungsdatum: 12.02.2005
Beiträge: 9736
Wohnort: Neben der Festplatte
|
| Verfasst am: 11.06.2007, 18:02 Titel: |
|
|
doch , sind sie - als windows-benutzser siehst du aber ein einzelnes \n nicht.
Windows liest nur \r\n (chr(13) + chr(10)) als zeilenumbruch, linux reicht ein \n und mac-rechnern nur ein \r... Windows ist also am korrektesten, wenn man die funktion einer schreibmaschine betrachtet...
edit @nemored: ja, das ist praktisch, aber man kann auch in txt-dateien loggen, sofern man diese per .htaccess dann als php-skripte markiert 
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.
Zuletzt bearbeitet von Jojo am 11.06.2007, 18:02, insgesamt einmal bearbeitet |
|
| Nach oben |
|
|
csde_rats
Anmeldungsdatum: 07.01.2007
Beiträge: 2292
Wohnort: Zwischen Sessel und Tastatur
|
| Verfasst am: 11.06.2007, 18:02 Titel: |
|
|
die file wird includet 
/€dit:
achso
/€dit²:
schon wieder
habt ihr euch abgesprochen.... tztz 3 posts pro min....
_________________
If hilfreicher_Beitrag then klick(location.here)
Klick
Zuletzt bearbeitet von csde_rats am 11.06.2007, 18:03, insgesamt einmal bearbeitet |
|
| Nach oben |
|
|
nemored
Anmeldungsdatum: 22.02.2007
Beiträge: 4704
Wohnort: ~/
|
| Verfasst am: 11.06.2007, 18:03 Titel: |
|
|
Mit WordPad sollte auch \n als Zeilenumbruch angezeigt werden. Bei Notepad ist das allerdings nicht so.
_________________
Deine Chance beträgt 1:1000. Also musst du folgendes tun: Vergiss die 1000 und konzentriere dich auf die 1. |
|
| Nach oben |
|
|
Jojo
alter Rang
Anmeldungsdatum: 12.02.2005
Beiträge: 9736
Wohnort: Neben der Festplatte
|
| Verfasst am: 11.06.2007, 18:03 Titel: |
|
|
was, du includest statistiken? hoffentilch nicht öffentlich?
ich meine, sowas wie browserverteilung und counter kann man schon öffentlich posten, aber dann PARSE die datei doch und include sie niht einfach so... über's includen haben wir uns ja schon weiter oben unterhatlen...
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.
|
|
| Nach oben |
|
|
csde_rats
Anmeldungsdatum: 07.01.2007
Beiträge: 2292
Wohnort: Zwischen Sessel und Tastatur
|
| Verfasst am: 11.06.2007, 18:36 Titel: |
|
|
| Jojo hat Folgendes geschrieben: | was, du includest statistiken? hoffentilch nicht öffentlich?
ich meine, sowas wie browserverteilung und counter kann man schon öffentlich posten, aber dann PARSE die datei doch und include sie niht einfach so... über's includen haben wir uns ja schon weiter oben unterhatlen... |
nene, nur im adminbereich 
_________________
If hilfreicher_Beitrag then klick(location.here)
Klick |
|
| Nach oben |
|
|
Jojo
alter Rang
Anmeldungsdatum: 12.02.2005
Beiträge: 9736
Wohnort: Neben der Festplatte
|
| Verfasst am: 11.06.2007, 19:30 Titel: |
|
|
dann kannst du sie auch gleich parsen (z.B. nette diagramme zeichnen ) oder als CSV anzeigen lassen...
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.
|
|
| Nach oben |
|
|
csde_rats
Anmeldungsdatum: 07.01.2007
Beiträge: 2292
Wohnort: Zwischen Sessel und Tastatur
|
|
| Nach oben |
|
|
|
FAQ
Suchen
Mitgliederliste
Benutzergruppen
Registrieren
Profil
Einloggen, um private Nachrichten zu lesen
Login
