Tweet
@Tobiaz: Warst du das??? Wenn ja: Big Thx 
-
-
Jepp!
Bidde!Kommentar
-
Ach so, kannte das Script nicht von oben genannten Link. Den code hatte/hab ich mir gar nicht durch gelesen.
a) viel zu viel Text, wo ich idr sowieso nicht antworte
b) hatte sich das ja schon erledigt.
Hatte das durch das Gästebuchscript (Wahrhammer) erfahren. Ist überall der gleiche Bug drinne.Kommentar
-
aber irgendwie musstest du doch das mit der variable LEVEL wissen...Kommentar
-
ich weiß schon gar nicht mehr, wie. kommt da nicht ne meldung mit "du hast das falsche level" oder so?
Aber dein loginscript hab ich nicht genommen. sonst hätte ich wohl irgendwo ein loginformular auf deiner seite benutzt. aber ich musste jedes formular lokal speichern, ändern und von hier absenden.Kommentar
-
Original geschrieben von TobiaZ
ich weiß schon gar nicht mehr, wie. kommt da nicht ne meldung mit "du hast das falsche level" oder so?
nee - da kommt immer: "Sie besitzen nicht die nötigen Rechte"
nene... über das loginscript wärst du nicht reingekommen - es vergleicht ja die daten (user/pass) mit der DB... außerdem habe ich beim loginscript komischerweise die sessions ORDENTLICH verarbeitetAber dein loginscript hab ich nicht genommen. sonst hätte ich wohl irgendwo ein loginformular auf deiner seite benutzt. aber ich musste jedes formular lokal speichern, ändern und von hier absenden.
Mit dem lokal speichern: So habe ich nachdem ich 20 Minuten verzweifelt überlegte - auch das hole gefunden... einfach hinten eine level=100 rangesetzt und voila SESAM ÖFFNE DICH...Kommentar
-
dann stand das mit dem level im warhammer quelltext. weiß ich jetzt nicht. Aber ist ja auch egalKommentar
-
egal??? wie soll das egal sein... theoretisch kann man doch php-sachen NICHT sehen - oder? wie zum teufel wussteste das mitn level? geraten?Original geschrieben von TobiaZ
dann stand das mit dem level im warhammer quelltext. weiß ich jetzt nicht. Aber ist ja auch egalKommentar
-
den quelltext von warhammer hast du hier irgendwo gepostet.Kommentar
-
was mir aber gerade aufgefallen ist ....
da ist bei jeden mitglied ein EDIT| DEL vorhanden. wahrscheinlich war davor deine prüfung nicht korrekt.
BLENDE die links doch einfach bei nicht berechtigen AUS.
INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |
Kommentar
-
Aber dieses Beispiel hat anderen PHP-Programmier geziegt, das ihre Seiten auch nicht dicht waren. Siehe Thread im User-Pages von "Benny-One".
Das passende dazu findet ihr unter: Websecurity
Sollte sich mal einige an die Überprüfung Ihrer Scripte machen.*winks*
Gilbert
------------------------------------------------
Hilfe für eine Vielzahl von Problemen!!!
http://www.1st-rootserver.de/
Kommentar
-
@ Wotan:
Deshalb haste mir wohl auch gemailt, anstatt hier was im Forum zu Posten!!!
Ja, der Wotan hatte auch ein Loch inne! *bloßstell*Kommentar
-
und was für einsOriginal geschrieben von TobiaZ
@ Wotan:
Deshalb haste mir wohl auch gemailt, anstatt hier was im Forum zu Posten!!!
Ja, der Wotan hatte auch ein Loch inne! *bloßstell*
TBT
Die zwei wichtigsten Regeln für eine berufliche Karriere:
1. Verrate niemals alles was du weißt!
PHP 2 All • Patrizier II Browsergame
Kommentar
-
@TBT & TobiaZ
Werde doch nicht alles öfentlich machen. Will doch nicht das mein Space danach anders aussieht als ich ihn geproggt habe. TobiaZ, das ist kein bloßstellen, das war die Wahrheit und ich kann die Wahrheit vertragen. (Komm du mir mal in die Finger 
Nene nur Spass.)
@all
wenn jemand sowas öffentlich Postet muss er damit rechnen das sein Space gelöscht ist oder aber modifiziert wird und das kann ich mir nicht leisten, also sowas per Mail.
Dank TBT habe ich es ja dann auch dicht bekommen. Zusätzlich habe ich es noch im Websecurity-Forum gepostet. Da es in dem Thread von Benny-one untergeht.*winks*
Gilbert
------------------------------------------------
Hilfe für eine Vielzahl von Problemen!!!
http://www.1st-rootserver.de/
Kommentar
-
Anscheinend habe ich da nen richtigen Stein ins Rollen gebracht, mit meinem "Hack". Aber es war wirklich so, ich hätte ca. 50% der Seite löschen können. Ohne Backup würde sowas garantiert riesig Ärger machen. Aber es war ja ein freundlicher Eingriff.
@TBT:
W hatte seine Seite auch in der Form seite=inhalt/index.php aufgebaut. Und das gibt natürlich früher oder später probleme. In diesem Fall hat das Script sogar den htaccess-Schutz deaktivier. Also ne ziemlich fiese Sache.Kommentar
Moderator
Kommentar