|
Off-Topic Hier ist die allgemeine Plauder-Ecke. Alles, was sonst nirgends reinpasst kommt hier rein |
|
Themen-Optionen | Ansicht |
17.04.2019, 12:23 | #21 |
Super-Moderator
Registriert seit: 27.05.2008
Ort: zu hause
Beitr?ge: 2.029
Abgegebene Danke: 510
Erhielt 302 Danke für 52 Beiträge
Downloads: 48
Uploads: 2 Nachrichten: 1565 Renommee-Modifikator:
10 |
Mach ich die auswertung läuft bereits
__________________
|
25.04.2019, 18:29 | #22 | |||||||||||
Neuling
Registriert seit: 12.04.2011
Beitr?ge: 27
Abgegebene Danke: 1
Erhielt 10 Danke für 1 Beitrag
Downloads: 4
Uploads: 0 Nachrichten: 0 Renommee-Modifikator:
0 |
Gibt es Hinweise, welche Stellen der ursprünglichen NV Source kontaminierungsgefährdet sind? Also ganz allgemein z.B. "nicht escapte Get-Parameter in der announce.php", oder "numerischer Wert 'id' lässt unzulässigerweise strings durch". Sowas in der Art. Evtl. hat auch noch jemand konkretere Hinweise, wie die (unhöflichen, weil auch nur publicity-geil, statt hilfreich) Gestalten bei SB-Inno... genauer vorgehen.
Ja, die, bei den jeweiligen Codern weitergewachsenen NV Sourcen sind alle divergiert und zum größten Teil wohl noch mehr "Spaghetti-Code" als vor 10 Jahren. Aber es gibt immer noch Gemeinsamkeiten, die wir hier austauschen können. Ist ja schließlich open Source das Ganze und steht unter GPL (soweit ich mich erinnere). 1. Am allerwichtigsten: Definieren eines globalen DB Objektes, als Wrapper um mysqli::class und im Code dann alles mittels $unsere_db->methode() ansprechen. dazu empfehle ich die Definition einer Funktion "sqlesc($string)", als Wrapper um mysqli::real_escape_string($string), da man die ziemlich oft braucht, und so weniger tippen muss, bzw. der Code etwas übersichtlicher wird. (Persönliche Vorliebe) 2. Parameter von aussen VOR Verwendung mit isset() prüfen und ggf. mit sinnvollem Null-Wert belegen. Damit es bei späterem Einfügen in die DB keine NULL-Value errors gibt. Bei enum Werten, mittels php funktion switch(){} den Wert ermitteln und ggf entspr. String zurückliefern (Stichwort Entkopplung) 3. Die Quirks in den php files ...(das meiste kann man mit prepared Statements, intval() und sqlesc() erschlagen und die Hälfte der Files liegt eh im Admin-Bereich ...) ...: bookmark.php: komplette Umstellung auf prepared Statements. Da ist fast alles neu, deswegen keine nähere Beschreibung casino.php einige unescapte $..._id s, die alle mit intval() sicher gemacht werden konnten. messages.php ca. Zeile 150, escapen per Adresszeiger: foreach ( $_REQUEST["selids"] as &$rid ) { $rid = intval($rid); } ... $_REQUEST["id"] wird bei späterer Verwendung mit intval() behandelt userstraffic.php: komplette Umstellung auf prepared Statements. mypic.php dito userhistory.php: intval auf $_GET["id"] uploadapp.php auch hier nahezu komplette Umstellung auf prepared Statements.Nur queries ohne Variablen von aussen können direkt bleiben. delacctadmin.php komplette Umstellung auf prepared Statements, etc. takelogin.php: komplette Umstellung auf prepared Statements, etc. takeprofedit.php: an allen Stellen mit > $updateset[] = "var=".$var < , die $var entspr. escapen mit intval() oder sqlesc() modtask.php: ca. Zeile 100: zusätzliches isset() auf $_POST() vars. include/wo_auch_immer_die_login_funktionen_definiert_sind.php: die entspr. Funktionen auf prepared Statements umstellen. Hoffe, das hier hilft irgendwem weiter. LG jazz (offtopic: weiß jemand, wie ich bei debian stretch, die limits NOFILE und NPROC ohne reboot dauerhaft verändern kann? Mein mysql zickt mit der Meldung "too much open files" rum) |
|||||||||||
28.04.2019, 06:39 | #23 |
Administrator
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.638
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Themenstarter
Downloads: 18
Uploads: 9 Nachrichten: 2257 Renommee-Modifikator:
10 |
Warum mysqli???
Gleich PDO und fertig ... in einer eigenen Klasse gepaselt und aus die Maus ... Eingaben prinzipiell über einen Input-Filter laufen lassen -- damit wird dann alles komplett erschalgen. Um ein Rewrite wirst du aber nicht umhinkommen, wenn du jemals "Ruhe" rein bekommen willst. Kinder, wie SBI versuchen immer wieder irgend welchen Blödsinn -- als erste Blockade kommt dann ein IDS zu einsatz. Ich habe irgenbdwann den CTRACKER mal auf ne Klasse umgebaut - um ihn einfacher Pflegbar zu machen. Aber er hat mittlerweile 2 weitere Vorgeschaltete Systeme -- unter anderem einen IDS. Und den ganzen Kinderkrahm bekommst du mit dem Input-Filter "erschlagen". PS: Deine OT-Frage -- mach nen Thread in der Hilfe-Sektion auf -- das kommt immer mal wieder als Fragestellung rüber
__________________
Fragen gehören ins Forum - und NICHT in mein Postfach ! Ich erteile KEINEN Privatunterricht über e-mail und PN ! Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch |
28.04.2019, 11:11 | #24 | |||||||||||
König
Registriert seit: 14.02.2011
Ort: Graz
Alter: 39
Beitr?ge: 1.495
Abgegebene Danke: 82
Erhielt 200 Danke für 37 Beiträge
Downloads: 11
Uploads: 0 Nachrichten: 6230 Renommee-Modifikator:
3168 |
Ich finde mysqli jetzt nicht schlechter als pdo, auch unter MySQLi gibt es prepared Statements
Wovon ich gar nichts halte sind die Datenbankklassen wo man einzelne Teile in Arrays/Params quetscht.. da verlernt man teilweise Statements zu schreiben
__________________
Ge?ndert von Stifler (28.04.2019 um 11:13 Uhr) |
|||||||||||
28.04.2019, 12:15 | #25 | ||||||||||||
Böser Mod / NvT Terrorist
Registriert seit: 16.09.2009
Ort: Cyberspace
Beitr?ge: 2.469
Abgegebene Danke: 188
Erhielt 562 Danke für 126 Beiträge
Downloads: 11
Uploads: 0 Nachrichten: 10609 Renommee-Modifikator:
4015 |
Zitat:
Lg Lex |
||||||||||||
28.04.2019, 18:37 | #26 | |||||||||||
Neuling
Registriert seit: 12.04.2011
Beitr?ge: 27
Abgegebene Danke: 1
Erhielt 10 Danke für 1 Beitrag
Downloads: 4
Uploads: 0 Nachrichten: 0 Renommee-Modifikator:
0 |
@Cerberus: mit dem rewrite hast du sicherlich recht. Konkret tue ich das eigtl. auch bei jeder Stelle, die ich anfassen muss. Einige Dinge funktionieren allerdings seit Anfang an klaglos, so dass sie mir erst jetzt auf die Füsse fallen. Und so erfolgt der rewrite weiterhin sukzessive.
@Stifler: Als jemand der SQL mit dBase III gelernt hat, gefällt dieses Maß an Abstraktion bei PDO auch nicht mehr wirklich. Das war vor ca. 3 Monaten auch der Grund für meine Wahl der mysqli-Technik stat PDO, um die relevanten Stellen in der (eh schon divergierten) NV Source zu ersetzen. Danke für eure Anregungen. |
|||||||||||
01.05.2019, 15:30 | #27 |
Administrator
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.638
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Themenstarter
Downloads: 18
Uploads: 9 Nachrichten: 2257 Renommee-Modifikator:
10 |
Wenn die Querys über eine Klasse gekapselt werden, ist es egasl, wie du sie benutzt ....
MySQLi, PDO, --- irgend was anderes .... Wichtig ist einzig, das die Ausgabe die selbe ist -- die Verarbeitung an sich ist im Grunde wurscht
__________________
Fragen gehören ins Forum - und NICHT in mein Postfach ! Ich erteile KEINEN Privatunterricht über e-mail und PN ! Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch |
31.07.2019, 00:19 | #28 | |||||||||||
Neuling
Registriert seit: 09.03.2010
Beitr?ge: 10
Abgegebene Danke: 4
Erhielt 0 Danke für 0 Beiträge
Downloads: 31
Uploads: 0 Nachrichten: 3 Renommee-Modifikator:
0 |
Bei uns hat auch jemand ein Screenshot vom Staff-Panel gemacht obwohl da nur ein Coder ran kommt , wir haben eine Vermutung aber den Namen sage ich nicht
|
|||||||||||
31.07.2019, 12:00 | #29 | |||||||||||
König
Registriert seit: 06.09.2008
Ort: /dev/null
Beitr?ge: 1.988
Abgegebene Danke: 643
Erhielt 261 Danke für 28 Beiträge
Downloads: 68
Uploads: 0 Nachrichten: 11697 Renommee-Modifikator:
3552 |
Wenn man eine Vermutung hat, sie aber nicht belegen kann, sollte man schweigen.
Jeden Tag wird so viel Scheiße im Internet geschrieben wovon meistens nicht mal 1 Prozent stimmt. Menschen labern hat gerne wenn der Tag lang ist Achja eines noch, ich weiß nicht von welchen Tracker du schreibst aber wenn einer gehackt wird und lieber bei sbi diskutiert als hier, kann euch keiner helfen!! Auch wenn es hier Tot aussieht, so kann man hier dennoch Hilfe erhalten. Alle Tracker die bei sbi durchgefallen sind, wurden mit Lücken gehackt wo es HIER seit Ewigkeiten Fixes für gibt. Darüber sollte man nachdenken. Mfg
__________________
Es ist kein Zeichen von Gesundheit, an eine von Grund auf kranke Gesellschaft gut angepasst zu sein. Ge?ndert von Thunder™ (31.07.2019 um 16:39 Uhr) |
|||||||||||
09.10.2019, 12:41 | #30 | ||||||||||||
Benutzer
Registriert seit: 17.02.2009
Ort: dresden
Beitr?ge: 47
Abgegebene Danke: 23
Erhielt 1 Danke für 1 Beitrag
Downloads: 23
Uploads: 0 Nachrichten: 74 Renommee-Modifikator:
0 |
Zitat:
dem ist NICHTS hinzuzufügen !!!! |
||||||||||||
Stichworte |
pentest, sb-innovation, sbi, security, test |
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1) | |
|
|