Antworten: 5
Seite [1] |
|||||
Crowe2Extreme Beginner Beiträge: 1 |
# Thema - 04.04.2010 um 09:59 Uhr
Ich habe mir mal gedanken zur Sicherheit von Clansphere gemacht. Dabei bin ich alle Dateien durchgegangen. Es erscheint mir für sinnvoll, alle Variablen die vom Client kommen zu überprüfen ob diese die Datenbank beschädigen können. Deshalb habe ich die funktion cs_sql_connect umgeschrieben, sodass direkt nach dem Verbinden zur Datenbank alle Variablen überprüft werden.
Selbes für die mysqli.php
Ich bitte das ClanSphere Team meinen Vorschlag zu Prüfen und die Änderungen in den nächsten Patch einzubauen. Mit freundlichem Gruss Crowe2Ex Zuletzt editiert von Crowe2Extreme am 04.04.2010 um 10:06 Uhr (2x Editiert)
|
||||
Inaktiv |
|
||||
Spongebob King for a day Herkunft: Kassel Beiträge: 277 |
# Antwort: 1 - 04.04.2010 um 10:07 Uhr
macht das nicht bei cs_sql_insert und cs_sql_update mehr sinn? Weil sowas muss doch erst abgesichert werden wenn etwas in die datenbank geschrieben wird oder, nicht? ------------------ ClanSphere developer - since 2010 we know how to party! - since 2004: www.sternex.de plentySystems developer - since 2010: www.plentysystems.de |
||||
Inaktiv |
|||||
Crowe2Extreme Thread-Ersteller Beginner Beiträge: 1 |
# Antwort: 2 - 04.04.2010 um 10:22 Uhr
Das ist richtig. Aber stell dir mal vor du installierst ein Modul von einem unerfahreren Scripter der daran nicht gedacht hat. |
||||
Inaktiv |
|||||
duRiel Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 3 - 04.04.2010 um 10:34 Uhr
bin unterwegs, deshalb kurzantwort: hi @ magic quotes |
||||
Inaktiv |
|||||
hajo VIP - Poster Herkunft: Barsbüttel Beiträge: 9411 |
# Antwort: 4 - 05.04.2010 um 01:20 Uhr
grundsätzlich sollte man keinem benutzer-input trauen, diesem globalisiert zu misstrauen ist allerdings auch kein guter weg. entsprechend sollte man alle stellen, an denen benutzer-input und sql-queries kontakt miteinander haben, absichern, wie es derzeit auch der fall ist. unerfahrene modul-programmierer können im aktuellen system sicherlich fehler machen, allerdings wird beinahe alles schon automatisiert escaped. das aktuelle system wird so beibehalten, wenn jemandem kleinere verbesserungen einfallen setzen wir diese sehr gern um. stützradprogrammierung hat nicht und wird keinen einzug in clansphere erhalten wie z.b. bei webspell und co ------------------ ClanSphere - professional clan care starts here |
||||
Offline |
|||||
Mindcrime Geekboy Beiträge: 1155 |
# Antwort: 5 - 05.04.2010 um 15:25 Uhr
Kurze antwort: Sehe antwort duriel, ist dasselbe wie magic quotes standard auf 'an' und das ist wohl einer der schlechtesten ideen die die PHP entwickler ueberhaupt mal gemacht haben... |
||||
Inaktiv |
|||||
Antworten: 5
Seite [1] |
Sie müssen sich registrieren, um zu antworten. |