Antworten: 19
Seite [1] |
|||||
Ho.B King for a day Herkunft: Berlin Beiträge: 207 |
# Thema - 30.04.2007 um 14:04 Uhr
Hiho, ich bastel gerade an einem kleinen CMS. Dort würde ich meinen Downloads-Bereich gerne so gestalten, dass ich das Verzeichnis, indem meine Dateien zum Download sind, mit einer .htaccess-Datei geschützt ist, meine index.php (ein Verzeichnis über dem DOwnload-Verzeichnis) auf diese Dateien zugreifen kann und sie zum Download anbieten kann. Ist sowas überhaupt möglich? Oder lässt sich das irgendwie anders realisieren? Danke schonmal, Gruß Ho.B ------------------ Alle Angaben sind wie immer ohne Gewähr |
||||
Inaktiv |
|
||||
h4ze Geekboy Herkunft: Itzehoe Beiträge: 1433 |
# Antwort: 1 - 30.04.2007 um 14:25 Uhr
die möglichkeit, die mir auf die schnelle einfällt, ist die dateien per php in nen temp-ordner zu verschieben und dann bei jedem ausführen des scripts den temp-ordner überprüfen zu lassen und dateien, die älter als zB 3 minuten sind, zu löschen. oder das löschen per cronjob oder so machen. @signatur: ich weiss nicht, wer dir hier was "verprochen" hat, aber wenn du was haben willst und nicht drauf warten möchtest, dann machs selbst. aber es so zu versuchen, find ich nen bisschen 3st. ------------------ |
||||
Inaktiv |
|||||
Ho.B Thread-Ersteller King for a day Herkunft: Berlin Beiträge: 207 |
# Antwort: 2 - 30.04.2007 um 15:10 Uhr
@ Sig: Hmm hast Recht könnt ich mal rausnehmen... Vielleicht würde ich das mittlerweile auch schon selbst schaffen @ Topic: Ich glaub das wird immer komplizierter Vielleicht lass ich das doch lieber ganz normal ungeschützt... ------------------ Alle Angaben sind wie immer ohne Gewähr |
||||
Inaktiv |
|||||
Denni Specialist Herkunft: Ilsfeld Beiträge: 1972 |
# Antwort: 3 - 30.04.2007 um 17:48 Uhr
*vorschneller beitrag* ------------------ Gruß Denni ClanSphere - Makes your website a playmate, just dress her Zuletzt editiert von Denni am 01.05.2007 um 10:39 Uhr (1x Editiert) |
||||
Inaktiv |
|||||
SCHIRI Weltmeister Herkunft: Hamburg Beiträge: 5299 |
# Antwort: 4 - 30.04.2007 um 19:11 Uhr
wo steht, dass er keine navlisten erstellen kann? Sein cms ist doch schon ziehmlich weit (login, gbook, news...) ------------------ www.laszlokorte.de |
||||
Inaktiv |
|||||
Denni Specialist Herkunft: Ilsfeld Beiträge: 1972 |
# Antwort: 5 - 30.04.2007 um 22:16 Uhr
geht um nen anderen thread, die nächsten geburtstage anzuzeigen ------------------ Gruß Denni ClanSphere - Makes your website a playmate, just dress her |
||||
Inaktiv |
|||||
Ho.B Thread-Ersteller King for a day Herkunft: Berlin Beiträge: 207 |
# Antwort: 6 - 01.05.2007 um 00:49 Uhr
danke SCHIRI ich habe echt schon ein bisschen was in meinem cms, allerdings funktioniert das teilweise schon ein wenig anders als clansphere und jeder hat halt so eine eigenen programmierideen... ich hatte an sich kein problem bei der erstellung von einer navlist, allerdings hab ich vielleicht noch nicht so das denken dafür, wie man dieses datumsformat geschickt sortieren kann... man muss halt nach und nach dazu lernen, also finde ich diese diskussion unnötig... ich mache PHP erst seit Februar und ich denke mein ergebnis kann sich schon sehen lassen (http://cms.silentkillerz.de) ich versuche mein bestes php zu lernen und dazu gehören auch mal fragen, die für andere dumm scheinen... ------------------ Alle Angaben sind wie immer ohne Gewähr |
||||
Inaktiv |
|||||
duRiel Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 7 - 01.05.2007 um 01:42 Uhr
jo, *in schutz nehm* soll nicht in die richtung gehen dass man sich hier noch schämen muss für seine fragen und so einfach ist das mit dem datum gar nicht, verstehe Ho.B durchaus. und selbst wenn die frage total leicht wäre, kann er doch trotzdem sein cms programmieren. das eigentliche cms programmieren besteht nur darin probleme zu lösen, das restliche programmieren nach 0815 ist mehr als einfach. @topic: http://www.kortstock.de/WWW-Kurs/verzeichnisschutz/htaccess.html |
||||
Inaktiv |
|||||
Ho.B Thread-Ersteller King for a day Herkunft: Berlin Beiträge: 207 |
# Antwort: 8 - 01.05.2007 um 02:45 Uhr
danke werds mir morgen etwas nüchterner mal genau durchlesen... ------------------ Alle Angaben sind wie immer ohne Gewähr |
||||
Inaktiv |
|||||
Denni Specialist Herkunft: Ilsfeld Beiträge: 1972 |
# Antwort: 9 - 01.05.2007 um 10:39 Uhr
will mich hiermit auch nochmal öffentlich für meinen beitrag entschuldigen. war ein etwas beleidigender und vorschneller schuss. habe mich gerade bei Ho.B auch noch per pm entschuldigt. ------------------ Gruß Denni ClanSphere - Makes your website a playmate, just dress her |
||||
Inaktiv |
|||||
h4ze Geekboy Herkunft: Itzehoe Beiträge: 1433 |
# Antwort: 10 - 01.05.2007 um 12:01 Uhr
wenn man mich fragt, dann kann man als php-anfänger seine ersten (mind.) 3 scripts ehe wegschmeissen, weil sie einfach zu billig und aufwendig gecodet sind aber netter anfang. ------------------ |
||||
Inaktiv |
|||||
Denni Specialist Herkunft: Ilsfeld Beiträge: 1972 |
# Antwort: 11 - 01.05.2007 um 12:06 Uhr
kann ich nur bestätigen @hazw, aber so ist es doch überall im leben.. was de mal angefangen hast (vorausgesetzt du beschäftigst dich weiter damit) kannst wegwerfen^^ ------------------ Gruß Denni ClanSphere - Makes your website a playmate, just dress her |
||||
Inaktiv |
|||||
h4ze Geekboy Herkunft: Itzehoe Beiträge: 1433 |
# Antwort: 12 - 01.05.2007 um 12:33 Uhr
jo, das stimmt... ------------------ |
||||
Inaktiv |
|||||
duRiel Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 13 - 01.05.2007 um 13:24 Uhr
...und das leben ist schwer.. b2t |
||||
Inaktiv |
|||||
logaan King for a day Herkunft: Gütersloh Beiträge: 209 |
# Antwort: 14 - 01.05.2007 um 13:42 Uhr
wieso wegwerfen? Nach ein paar Jahren zurückblicken und sich über seinen Fortschritt freuen! zum Topic/CMS: Tipp: Fang am besten sofort damit an das Dingen sicher zu machen... bei der Registrierung wird absolut nichs überprüft... ein Angreifer könnte beliebigen Javascript-code auf der Seite ausführen und somit das login Formular verfälschen, sessions klauen etc... man betrachte z.B. den user h0n1g und klicke auf ihn. Nur so als Beispiel ------------------ portfolio. Clanpage Video Tutorial TemplateDesigner 1.02 Templates anpassen war noch nie so einfach... Zuletzt editiert von logaan am 01.05.2007 um 14:07 Uhr (2x Editiert) |
||||
Inaktiv |
|||||
Ho.B Thread-Ersteller King for a day Herkunft: Berlin Beiträge: 207 |
# Antwort: 15 - 01.05.2007 um 18:22 Uhr
ich weiß... das wäre eine der nächsten fragen gewesen wie ich das alles sicherer mache hatte mich mal ganz kurz mit SCHIRI drüber unterhalten aber mich noch nicht so wirklich mit beschäftigt... also wo wir grad dabei sind was für sachen hat man da zu beachten? ------------------ Alle Angaben sind wie immer ohne Gewähr |
||||
Inaktiv |
|||||
SCHIRI Weltmeister Herkunft: Hamburg Beiträge: 5299 |
# Antwort: 16 - 01.05.2007 um 18:53 Uhr
wie ich dir ja schonmal gesagt hab: alle inhalte deiner seite die von einem user eingegeben werden müssen auf < und > überprüft werden damit der user kein html verweden kann und kein javascript. ausserdem dürfen usereingaben nicht direkt in einen sql-befehl eingesetzt werden, da der usersonst direkten zugriff auf die datenbank hätte und seine eingabe als befehl gewertet werden kann. ------------------ www.laszlokorte.de |
||||
Inaktiv |
|||||
Ho.B Thread-Ersteller King for a day Herkunft: Berlin Beiträge: 207 |
# Antwort: 17 - 01.05.2007 um 18:57 Uhr
ok das erste hab ich glaube ich... das ist doch die geschichte mit dem strip_tags() oder? meine registrierungssdatei war glaube ich die einzige, die noch nicht die sqlinsert-funktion drin hatte (war ja auch eine der ersten dateien...) und deswegen hatte ich die strip_tags funktion nicht mit dabei das andere habe ich glaube ich auch verstanden... nur wie mach ich das? ------------------ Alle Angaben sind wie immer ohne Gewähr Zuletzt editiert von Ho.B am 01.05.2007 um 19:08 Uhr (1x Editiert) |
||||
Inaktiv |
|||||
duRiel Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 18 - 01.05.2007 um 21:56 Uhr
schweift leicht ab.. zb wenn du ne bestimmte news anzeigen lassen willst passiert das ja per ?id=xxx zum beispiel. wenn du dann machen würdest:
dann kann man eine sql injection machen. dh man ruft zb mit ?id=1;DROP+TABLE+users somit stünde folgendes da:
somit hättest du deine news gewählt und zusätzlich alle benutzer und die benutzertabelle gelöscht. kannst das zum beispiel durch typecasting verhindern, also legst du fest, dass $id von dem typ integer, also zahlen ist. da kann also kein sql drin stehen dann. |
||||
Inaktiv |
|||||
Ho.B Thread-Ersteller King for a day Herkunft: Berlin Beiträge: 207 |
# Antwort: 19 - 04.05.2007 um 21:28 Uhr
gut danke.. ich hab das mal getastet mit den sql injectionen und bei mir hat das irgendwie nich gefunzt... ------------------ Alle Angaben sind wie immer ohne Gewähr |
||||
Inaktiv |
|||||
Antworten: 19
Seite [1] |
Sie müssen sich registrieren, um zu antworten. |