News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen

Antworten: 19
Seite [1]
Ho.B


King for a day



Herkunft: Berlin
Beiträge: 207
# Thema - 30.04.2007 um 14:04 Uhr
Hiho,

ich bastel gerade an einem kleinen CMS. Dort würde ich meinen Downloads-Bereich gerne so gestalten, dass ich das Verzeichnis, indem meine Dateien zum Download sind, mit einer .htaccess-Datei geschützt ist, meine index.php (ein Verzeichnis über dem DOwnload-Verzeichnis) auf diese Dateien zugreifen kann und sie zum Download anbieten kann.

Ist sowas überhaupt möglich? Oder lässt sich das irgendwie anders realisieren?

Danke schonmal, Gruß Ho.B


------------------
Alle Angaben sind wie immer ohne Gewähr
Inaktiv
h4ze


Geekboy




Herkunft: Itzehoe
Beiträge: 1433
# Antwort: 1 - 30.04.2007 um 14:25 Uhr
die möglichkeit, die mir auf die schnelle einfällt, ist die dateien per php in nen temp-ordner zu verschieben und dann bei jedem ausführen des scripts den temp-ordner überprüfen zu lassen und dateien, die älter als zB 3 minuten sind, zu löschen.

oder das löschen per cronjob oder so machen.

@signatur:
ich weiss nicht, wer dir hier was "verprochen" hat, aber wenn du was haben willst und nicht drauf warten möchtest, dann machs selbst. aber es so zu versuchen, find ich nen bisschen 3st.


------------------
gembee.com - Upload your Life!
A Social Filesharing Network
"Wie YouTube, nur für alle Datei-Typen"


Inaktiv
|
Ho.B
Thread-Ersteller


King for a day



Herkunft: Berlin
Beiträge: 207
# Antwort: 2 - 30.04.2007 um 15:10 Uhr
@ Sig: Hmm hast Recht könnt ich mal rausnehmen... Vielleicht würde ich das mittlerweile auch schon selbst schaffen

@ Topic: Ich glaub das wird immer komplizierter Vielleicht lass ich das doch lieber ganz normal ungeschützt...


------------------
Alle Angaben sind wie immer ohne Gewähr

Inaktiv
|
Denni


Specialist




Herkunft: Ilsfeld
Beiträge: 1972
# Antwort: 3 - 30.04.2007 um 17:48 Uhr
*vorschneller beitrag*


------------------
Gruß
Denni

ClanSphere - Makes your website a playmate, just dress her

Zuletzt editiert von Denni am 01.05.2007 um 10:39 Uhr (1x Editiert)
Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 4 - 30.04.2007 um 19:11 Uhr
wo steht, dass er keine navlisten erstellen kann?

Sein cms ist doch schon ziehmlich weit (login, gbook, news...)


------------------
www.laszlokorte.de

Inaktiv
|
Denni


Specialist




Herkunft: Ilsfeld
Beiträge: 1972
# Antwort: 5 - 30.04.2007 um 22:16 Uhr
geht um nen anderen thread, die nächsten geburtstage anzuzeigen


------------------
Gruß
Denni

ClanSphere - Makes your website a playmate, just dress her

Inaktiv
|
Ho.B
Thread-Ersteller


King for a day



Herkunft: Berlin
Beiträge: 207
# Antwort: 6 - 01.05.2007 um 00:49 Uhr
danke SCHIRI

ich habe echt schon ein bisschen was in meinem cms, allerdings funktioniert das teilweise schon ein wenig anders als clansphere und jeder hat halt so eine eigenen programmierideen... ich hatte an sich kein problem bei der erstellung von einer navlist, allerdings hab ich vielleicht noch nicht so das denken dafür, wie man dieses datumsformat geschickt sortieren kann... man muss halt nach und nach dazu lernen, also finde ich diese diskussion unnötig... ich mache PHP erst seit Februar und ich denke mein ergebnis kann sich schon sehen lassen (http://cms.silentkillerz.de)

ich versuche mein bestes php zu lernen und dazu gehören auch mal fragen, die für andere dumm scheinen...


------------------
Alle Angaben sind wie immer ohne Gewähr

Inaktiv
|
duRiel ClanSphere Team


Weltmeister




Herkunft: Cambridge
Beiträge: 7300
# Antwort: 7 - 01.05.2007 um 01:42 Uhr
jo, *in schutz nehm*
soll nicht in die richtung gehen dass man sich hier noch schämen muss für seine fragen und so einfach ist das mit dem datum gar nicht, verstehe Ho.B durchaus. und selbst wenn die frage total leicht wäre, kann er doch trotzdem sein cms programmieren. das eigentliche cms programmieren besteht nur darin probleme zu lösen, das restliche programmieren nach 0815 ist mehr als einfach.

@topic: http://www.kortstock.de/WWW-Kurs/verzeichnisschutz/htaccess.html


Inaktiv
|
Ho.B
Thread-Ersteller


King for a day



Herkunft: Berlin
Beiträge: 207
# Antwort: 8 - 01.05.2007 um 02:45 Uhr
danke werds mir morgen etwas nüchterner mal genau durchlesen...


------------------
Alle Angaben sind wie immer ohne Gewähr

Inaktiv
|
Denni


Specialist




Herkunft: Ilsfeld
Beiträge: 1972
# Antwort: 9 - 01.05.2007 um 10:39 Uhr
will mich hiermit auch nochmal öffentlich für meinen beitrag entschuldigen.
war ein etwas beleidigender und vorschneller schuss.
habe mich gerade bei Ho.B auch noch per pm entschuldigt.


------------------
Gruß
Denni

ClanSphere - Makes your website a playmate, just dress her

Inaktiv
|
h4ze


Geekboy




Herkunft: Itzehoe
Beiträge: 1433
# Antwort: 10 - 01.05.2007 um 12:01 Uhr
wenn man mich fragt, dann kann man als php-anfänger seine ersten (mind.) 3 scripts ehe wegschmeissen, weil sie einfach zu billig und aufwendig gecodet sind

aber netter anfang.


------------------
gembee.com - Upload your Life!
A Social Filesharing Network
"Wie YouTube, nur für alle Datei-Typen"


Inaktiv
|
Denni


Specialist




Herkunft: Ilsfeld
Beiträge: 1972
# Antwort: 11 - 01.05.2007 um 12:06 Uhr
kann ich nur bestätigen @hazw, aber so ist es doch überall im leben..

was de mal angefangen hast (vorausgesetzt du beschäftigst dich weiter damit) kannst wegwerfen^^


------------------
Gruß
Denni

ClanSphere - Makes your website a playmate, just dress her

Inaktiv
|
h4ze


Geekboy




Herkunft: Itzehoe
Beiträge: 1433
# Antwort: 12 - 01.05.2007 um 12:33 Uhr
jo, das stimmt...


------------------
gembee.com - Upload your Life!
A Social Filesharing Network
"Wie YouTube, nur für alle Datei-Typen"


Inaktiv
|
duRiel ClanSphere Team


Weltmeister




Herkunft: Cambridge
Beiträge: 7300
# Antwort: 13 - 01.05.2007 um 13:24 Uhr
...und das leben ist schwer..

b2t


Inaktiv
|
logaan


King for a day




Herkunft: Gütersloh
Beiträge: 209
# Antwort: 14 - 01.05.2007 um 13:42 Uhr
wieso wegwerfen? Nach ein paar Jahren zurückblicken und sich über seinen Fortschritt freuen!

zum Topic/CMS:

Tipp: Fang am besten sofort damit an das Dingen sicher zu machen... bei der Registrierung wird absolut nichs überprüft... ein Angreifer könnte beliebigen Javascript-code auf der Seite ausführen und somit das login Formular verfälschen, sessions klauen etc... man betrachte z.B. den user h0n1g und klicke auf ihn. Nur so als Beispiel


------------------
portfolio.
Clanpage Video Tutorial

TemplateDesigner 1.02
Templates anpassen war noch nie so einfach...

Zuletzt editiert von logaan am 01.05.2007 um 14:07 Uhr (2x Editiert)
Inaktiv
|
Ho.B
Thread-Ersteller


King for a day



Herkunft: Berlin
Beiträge: 207
# Antwort: 15 - 01.05.2007 um 18:22 Uhr
ich weiß... das wäre eine der nächsten fragen gewesen wie ich das alles sicherer mache

hatte mich mal ganz kurz mit SCHIRI drüber unterhalten aber mich noch nicht so wirklich mit beschäftigt...

also wo wir grad dabei sind was für sachen hat man da zu beachten?


------------------
Alle Angaben sind wie immer ohne Gewähr

Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 16 - 01.05.2007 um 18:53 Uhr
wie ich dir ja schonmal gesagt hab:

alle inhalte deiner seite die von einem user eingegeben werden müssen auf < und > überprüft werden damit der user kein html verweden kann und kein javascript.

ausserdem dürfen usereingaben nicht direkt in einen sql-befehl eingesetzt werden, da der usersonst direkten zugriff auf die datenbank hätte und seine eingabe als befehl gewertet werden kann.


------------------
www.laszlokorte.de

Inaktiv
|
Ho.B
Thread-Ersteller


King for a day



Herkunft: Berlin
Beiträge: 207
# Antwort: 17 - 01.05.2007 um 18:57 Uhr
ok das erste hab ich glaube ich... das ist doch die geschichte mit dem strip_tags() oder?

meine registrierungssdatei war glaube ich die einzige, die noch nicht die sqlinsert-funktion drin hatte (war ja auch eine der ersten dateien...) und deswegen hatte ich die strip_tags funktion nicht mit dabei

das andere habe ich glaube ich auch verstanden... nur wie mach ich das?


------------------
Alle Angaben sind wie immer ohne Gewähr

Zuletzt editiert von Ho.B am 01.05.2007 um 19:08 Uhr (1x Editiert)
Inaktiv
|
duRiel ClanSphere Team


Weltmeister




Herkunft: Cambridge
Beiträge: 7300
# Antwort: 18 - 01.05.2007 um 21:56 Uhr
schweift leicht ab..

zb wenn du ne bestimmte news anzeigen lassen willst passiert das ja per ?id=xxx zum beispiel.

wenn du dann machen würdest:
 
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
1. / 2. / ... 
<?php

$id 
$_GET['id'];

$sql 'SELECT * FROM news WHERE news_id = \'' $id '\'';

$result mysql_query($sql);

// usw

?>


dann kann man eine sql injection machen.
dh man ruft zb mit ?id=1;DROP+TABLE+users

somit stünde folgendes da:

 
1.
2.
3.
4.
5.
1. / 2. / ... 
<?php

$sql 
'SELECT * FROM news WHERE news_id = \'1;DROP TABLE users\'';

?>


somit hättest du deine news gewählt und zusätzlich alle benutzer und die benutzertabelle gelöscht.
kannst das zum beispiel durch typecasting verhindern, also legst du fest, dass $id von dem typ integer, also zahlen ist. da kann also kein sql drin stehen dann.


Inaktiv
|
Ho.B
Thread-Ersteller


King for a day



Herkunft: Berlin
Beiträge: 207
# Antwort: 19 - 04.05.2007 um 21:28 Uhr
gut danke..

ich hab das mal getastet mit den sql injectionen und bei mir hat das irgendwie nich gefunzt...


------------------
Alle Angaben sind wie immer ohne Gewähr

Inaktiv
|
Antworten: 19
Seite [1]


Sie müssen sich registrieren, um zu antworten.


ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo