Bitte bitte testen! www.it-lager.de

**hansi** · 29.03.2004, 10:14

deine urls laden nur dazu ein, etwas zu "manipulieren".

außerdem gefällt mir dieses standart-design nicht ...

**tommie82** · 29.03.2004, 15:35

Also entweder ist dein Server ziemlich langsam, oder deine Abfragen sind zu kompliziert - aber 30-40 sek. für einen Aufruf dauert definitiv viel zu lang, um da überhaupt was testen zu können

.

**phpali** · 29.03.2004, 16:09

mit ISDN blitzschnell

Hallo,

Ich habe zwischenzeitlich mal was neues upgeloaded, vielleicht lag es ja daran. Also ich teste das System ja schon eine Zeitlang, und da sind die reaktionszeiten ziemlich schnell.

Auch mit ISDN-Zugang gings richtig gut. Bald noch schneller als mit meinem DSL.

Die Anfragen sind ziemlich simpel gehalten.

Manchmal ist der Server ziemlich lahm ...

Vielen Dank fürs Testen.

Ich werde nun mal noch ein bischen graphisch was dran tun.

Gruss phpali

**Coragon Rivito** · 30.03.2004, 09:44

aber hoppla ..
sowas sollte nicht nur der server abfangen, sondern du als programmierer, dann gibts auch keine unschönen meldungen ..

Warning: main(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www/html/web270/) in /var/www/html/web270/html/index.php on line 35

Warning: main(/etc/passwd): failed to open stream: Die Operation ist nicht erlaubt in /var/www/html/web270/html/index.php on line 35

Warning: main(): Failed opening '/etc/passwd' for inclusion (include_path='.:/usr/share/pear') in /var/www/html/web270/html/index.php on line 35

ahja: probier mal http://www.it-lager.de/index.php?z=./index.php&kat2=33
der aufruf kann aber dauern

**phpali** · 30.03.2004, 11:56

Ich weiss garnicht, wie Du diese Fehlermeldungen zustande bringst.

Ich würde das auch gerne hinbekommen! ;-) Hast Du einen kleinen Tip?

Allerdings werde ich mich verstärkt mit dem Thema error_handling auseinandersetzen müssen. Fehlermeldungen sind nichts schönes...

Gruss phpali

**Innuendo** · 30.03.2004, 12:47

Warum immer diese Minischriftgröße bei Fließtexten?

**phpali** · 30.03.2004, 13:14

Stimmt, ich hatte es noch nicht mit 12px versucht.

Ich dachte schon ich hätt wat anne augen...

Grösser sieht wirklich besser aus.

Jetzt sollte es besser lesbar sein.

Danke!

**Coragon Rivito** · 30.03.2004, 13:51

wenn du dir die fehlermeldung genauer ansiehst wirst du sehen welche datei ich versucht hab aufzurufen ..

und wie rufst du dateien auf ? genau durch den parameter/die variable $z ..

**phpali** · 30.03.2004, 14:46

Aber irgendwie muss ich doch irgendwelche Parameter übergeben.

Die Plattform ist für Gewerbebetreibende, deren Daten zwangsläufig bekannt sind und auch überprüft werden.

Meinst Du, die beschäftigen sich mit dem "wie kann ich die Seite knacken" oder "wie verändere ich den Query sodass die Seite garnicht oder nur Stunden später geladen werden kann?"

Ich versuchte mal, irgendwelche parameter in den Query einzugeben, aber der IE wirft dann nach ein paar Sekunden ein Fenster mit einer Fehlermeldung raus und bricht den Vorgang ab.
So auch bei Deinem Link.

Oder kann ich doch sämtliche URL Queries vermeiden? Und ich weiss es nur noch nicht?

Gruss phpali

**wahsaga** · 30.03.2004, 14:53

Original geschrieben von phpali
Aber irgendwie muss ich doch irgendwelche Parameter übergeben.

aber dabei sollte man nicht blind alles akzeptieren, sondern den parameter auf gültigkeit prüfen - z.b., ob er in einer vorher definierten liste gültiger parameter enthalten ist.
wenn man diese liste allerdings eh schon hat, kann man auch gleich eine ID verwenden, anstatt dateinamen im klartext an den URL anzuhängen ...

Die Plattform ist für Gewerbebetreibende, deren Daten zwangsläufig bekannt sind und auch überprüft werden.
Meinst Du, die beschäftigen sich mit dem "wie kann ich die Seite knacken" oder "wie verändere ich den Query sodass die Seite garnicht oder nur Stunden später geladen werden kann?"

und meinst du, irgendeinen hacker, der sich mit deiner seite ein bisschen die zeit vertreiben möchte, interessiert es, dass die seite "nur für gewerbetreibende" gedacht war?

an das thema sicherheit bitte nicht immer so blauäugig rangehen ...

**phpali** · 30.03.2004, 15:16

Macht es Sinn, mit

if (file_exists($z)) {}

zu checken, ob die angewählte Seite existiert?

Ich habs mal eingebaut, funktioniert, und schickt dem Techniker (

mir...endlich schreibt mir mal jemand...) eine Email, die den Querystring enthält.

Gruss und Danke
phpali

**Coragon Rivito** · 31.03.2004, 07:54

/etc/passwd existiert auch, du bekämst also keine meldung ..
ich vermute mal es ist nur glück für dich dass obige einschränkung greift ..

guck dir mal http://php-resource.de/forum/showthr...=switch+%24GET an ..
die sicherheit vernachlässigen viele, dort findest du ein paar tipps bzw eine diskussion

Bitte bitte testen! www.it-lager.de