Abonniere die Beiträge von PinkPearl Info

EMail Adresse hinzufügen

Teile dich mit!

Verwende den Hashtag #ppiupdate in den Sozialen Medien (wie zum Beispiel Twitter), um Besucher auf deine Updates aufmerksam zu machen.
Mehr Infos...

Dienstag, 22. Januar 2013

Isa´s ACP: Sicherheit

lulu
In der Szene verwenden immer mehr Leute auf ihrer Website das ACP von Isa.
Doch da das ACP schon einige Jahre hinter sich hat und das Coding sich weiterentwickelt, finden sich immer mehr Sicherheitslücken in eben diesem ACP.
Dürfen Besucher auf einer Website eine Eingabe machen, besteht immer die Gefahr, dass sie z.B. ein "iFrame" (oder schlimmeres) auf die HP "zaubern". Das geht ganz einfach!
Damit der Besucher nicht den ganzen Layout Code einer Website kaputt machen kann, gibt es aber einen ganz einfachen Trick, das zu verhindert.



Nehmen wir z.B. die Newskommentare aus dem ACP.
Auf der Textseite newsentry.php sehr ihr nach "//KOMMENTARE HIER"  folgende Stelle:
echo "<td colspan='3' align='left'>".bbccode($row->text)."<br/><br/>";
Das "echo" gibt einfach nur das HTML innerhalb der Anführungsstrichen aus.
das bbccode($row->text) gibt den Text, der in der Datenbank gespeichert ist, aus. Das Problem: gibt der Besucher z.B. <b>Hallo</b> ein, wandelt bbccode($row->text) das Wort Hallo um und macht es fett. Das ist natürlich bei <b> nicht weiter schlimm, aber stellt euch mal vor, der Besucher gibt
<iframe>...</iframe> ein! Dann habt ihr plötzlich eine andere Website oder sonstiges auf eurer Website!
Oder er gibt einfach </div> ein. Das kann euren gesamten Layoutcode zunichte machen.


Deshalb ändert die oben genannte Stelle einfach ab in:
echo "<td colspan='3' align='left'>".bbccode(htmlspecialchars($row->text))."<br/><br/>";

Das verhindert, dass HTML Codes umgewandelt werden und gibt diese einfach als Text aus. Das tolle: [B]Hallo[/B] geht natürlich immer noch und macht das Hallo nach wie vor fett.
Weitere stellen sind übrigens noch auf den Textseiten "view_review.php" bzw. "view_tutorials.php".
Auf diesen müsst ihr die Zeile:
echo "<td colspan='3' align='left'>".bbccode($row_kommentare->text)."<br/><br/>"; 
in
echo "<td colspan='3' align='left'>".bbccode(htmlspecialchars($row_kommentare->text))."<br/><br/>"; 

umwandeln.

20 Kommentare:

  1. Soweit ich mitbekommen habe, soll das ACP von Isa viele Sicherheitslücken oder Fehler bestehn. Auch ging mal das Gerücht um, das es von nem Virus befallen wäre. Aber ich glaube, ich bin eine der wenigen, die sich noch nicht dem ACP von Isa verschrieben haben! |D

    Wobei ich gestehen muss, dass ich selbst das ACP auf meiner Festplatte halte (Genauso wie jedes einzelene ACP von Delite! x3) und ab und an Teile von Isas ACP verwende. :D (Wie den Code für der Credits anzeige. ^^)

    Aber sonst, danke für den Hinweiß. <3 Vielleicht wäre es noch zu erwähnen das man auch durch einer kleinen Funktion diese Splashes verschwinden lassen kann. :D

    Das ganze würde dann so aussehen:

    ".stripslashes(bbccode(htmlspecialchars($row->text)))."

    AntwortenLöschen
    Antworten
    1. Das Gerücht, dass es von einem Virus befallen wäre hab ich auch schon gehört, konnte es aber bisher noch nicht bestätigen. Ich benutze das ACP jetzt schon seit mind. 2 Jahren..
      Ja, inzwischen benutzen das ACP wirklich viele. Aber es ist auch einfach klasse, auch wenn es einige Schwächen hat..

      Ich muss gestehen, dass ich die ACPs von Delite gar nicht kenne.
      Stimmt, das hätte ich wirklich noch erwähnen können ^__^ Vielen Dank für den Hinweis!

      Löschen
  2. Ich habe das ACP für Auroria verwendet und kurzweilig auch für IDNG. Bei IDNg habe ich es später jedoch wieder entfernt, da es für die Page als Staffel zu aufwendig war. Dennoch ist das ACP wirklich gut. Das Hochladen der Grafiken ist durch das ACP kein Vergleich mehr, als das unendlich lange Anlegen von Grafikunterseiten.
    Ich habe auch mal von dem Gerücht gehört, dass ein Virus seine Runde macht. Einzig und alleine haben mich die Spamkommentare in Ask me und Wishbook gestört.
    Derzeit benutze ich aber gar kein ACP mehr. Dennoch ist Isa;s ACP wirklich gut. Man muss ja auch bedenken, dass sie es kostenlos anbietet. Meist werden so komplexe ACP's mehr gegen einen kleinen Preis angeboten.
    Thumbs up!

    AntwortenLöschen
    Antworten
    1. Ja, um das ACP für eine Staffelpage zu verwenden muss man schon einiges umändern. Annis6 verwendet auf www.fincayra-tales.de.ms ja auch Isa´s ACP und hat das (wie ich finde) wirklich super umgesetzt :D
      Ich bin auch sehr froh, das es das ACP gibt -^.^- Es erleichtert einfach so vieles..
      Spamkommis hatte ich bisher leider auch schon, allerdings nur bei den Reviews bzw. Tutorials. Vll finde ich da auch mal noch was, damit das aufhört :D
      Ich find Isa´s ACP einfach klasse ^_^ zum Glück wird es kostenlos angeboten.

      Löschen
  3. Sehr schöner Post. Hoffe es kommt mehr die Richtung x3. Ich selbst hab das ACP auch bereits auf meinem PC, aber noch nicht in Angriff genommen. Will es mit dem nächsten Layout mal versuchen. Was ich gerne vorher noch wüsste:
    Eignet sich das ACP denn auch für Seiten, die nicht so viel Wert auf Graphics legen sondern auch andere Bereiche nutzen (so wie bei mir)?

    AntwortenLöschen
    Antworten
    1. Dankeeee <3 Ich werd mein Bestes geben, damit ich mehr solcher Post online bringen kann -^.^-
      Das ACP ist vor allem auf Grafikseiten ausgelegt, mit ein bisschen Mühe kann man es aber für alles verwenden.
      Am Besten fragst du da aber noch mal Annis6 von http://www.fincayra-tales.de.ms/, sie verwendet für ihre Staffelpage auch Isa´s ACP und hat das, wie ich finde, super umgesetzt.

      Löschen
    2. *rot anlauf* na so gut habe ich es auch wieder nicht umgesetzt. Übertreibe nicht. Ich habe nur mithilfe des ACPs verstanden, wie man daten aus einer Datenbank mithilfe php und mysql eingibt, löscht und ausgibt.
      Und ohne Amarzia wäre das nie so gut geworden.
      Apropo ich habe mal ein Forumbeitrag gelesen zu Isas ACP wo es noch mehr sicherheitslücken gibt, wenn ich ihn finde schick ich dir den Post, denn ich weiß, dass der mich so umgehauen hat

      Löschen
    3. Nya, wie gesagt, ich werde es ausprobieren, sobald ich das nächste Layout mache. Aktuell habe ich n paar andere Probleme ^^" (voller Speicher), bzw. sitze am neuen Layout für Bishoujo Senshi. Trotzdem danke für die Antwort x3.

      Löschen
    4. Normal kann man ja eigentlich alles mit einem ACP anstellen, vorrausgesetzt, man hat etwas PHP-Erfahrung! ^^' Somit lässt sich auch aus dem ACP von Isa ein ganz leichter Blog, [verschiende Newsbilder etc] erstellen. :D Falls da irgendwie trotzdem hilfe brauchen solltest, kannst du dich gerne an mich wenden. Ich helfe da gerne ^_^

      Löschen
    5. Dankeschön x3. Ich bin in Sachen PHP noch n ziemlicher Anfänger, auch wenn ich das ein oder andere bereits irgendwie selbst hinbekommen habe XD. Ich werde gerne auf dein Angebot zurückkommen, wenn ich dann so weit bin.

      Löschen
    6. Ich find es auch sehr gelungen, Annis ;) Da brauchst du dich gar nicht so klein machen.

      Löschen
    7. Jop da hat Isa recht :D Du hast deine Ideen mithilfe des ACPs wirklich super umgesetzt Annis ^_^

      Löschen
  4. ui schön, dass du solche Posts schreibst :) wenn ich mal Zeit hätte, würde ich mich an eine neue Version setzen... ich habe so viele Ideen wie es einfacher, dynamischer und sicherer geht, aber mir fehlt einfach die Zeit dafür das Ding generalzuüberholen.

    AntwortenLöschen
    Antworten
    1. Jahaa ich liebe dein ACP -.^ Klar, dass es einige Schwächen gibt, immerhin ist es ja auch schon ziemlich alt.
      Aber wenn alle, die das ACP verwenden ein bisschen dran arbeiten haben wir vielleicht am Ende ein super sicheres Ding!? ;) Wer weiß.

      Löschen
    2. Ja ein paar Monate Arbeit war es damals schon. Umso schöner, dass es solch einen Anklang gefunden hat. :) Ich freu mich jedes Mal, wenn ich es irgendwo erkenne. Vorallem wenn man dann begeistert feststellen darf, was da alles raus geholt wird.

      Wie gesagt, wenn ich mal Zeit hätte... xD aber das wird leider nichts mehr, denke ich. Ist halt nicht mehr dasselbe wie zur Schulzeit mit der Freizeit.

      Löschen
    3. Ich hab mich auch schon mal an einem ACP versucht, aber ich hab einfach nicht das Durchhaltevermögen um das durch zu ziehen >.<
      Jop erst wenn man arbeitet weiß man, wie viel Zeit man während der Schulzeit hatte. Kenn ich auch :(

      Löschen
  5. Ich bin mal gespannt, was man noch alles da hinzufügen kann. Man kann mit dem Ding richtig viel machen, wenn man das Grundprinzip verstanden hat. Annis6 von fincayra-tales ist das beste Beispiel!

    AntwortenLöschen
    Antworten
    1. Jap, da geb ich dir Recht :D Mit dem ACP ist wirklich alles möglich. Man muss nur ein bisschen kreativ sein und sich damit auseinander setzen ;)

      Löschen
    2. Genau! Du brauchst fürs hochladen nicht viele dinge
      Datenbanktabelle
      Hochladeseite
      Editseite
      Ausgabeseite

      mehr ist das nicht und wenn man weiß wie man das ganze verknüpft per php ist es wirklich einfach^^ Natürlich kann man mit javascript und dem Ganzen noch kleine extras einbauen aber das ist das Grundprinzip^^

      Also ich respektiere die M;enschen die Isas ACP benutzen und es so gut umwandeln, dass man es kaum wieder erkennt. Idng war ein gutes Beispiel. Chibi-Graphics verdeckt es auch gut. Auch colorful-graphics hat es sehr gut gestaltet.

      Löschen
  6. Ich hab früher auch ein komplettes ACP & sämtliche Scripts von Witch Heaven angeboten, aber ich würde sehr vorsichtig mit dem ACP von Isa sein.
    Es mag sein, dass es gut ist - aber es ist extrem veraltet. Ich programmiere beruflich und wenn man die aktuelle PHP Version nicht nutzt, kann man viele Funktionen ausnutzen, sowie mysqli sollte benutzt werden.
    Das komplette ACP müsste einmal komplett überholt werden, weil was du hier erwähnst, sind nicht mal ansatzweise die Sicherheitslücken die auch existieren.

    Ich finds wirklich gut, dass sich jemand die Mühe macht :) Aber ich finde, aktualisieren gehört auch dazu z.B. müsste die Funktion heute so aussehen: htmlentities($mysqli->real_escape_string($row->name));

    Evtl. mach ich mich mal daran, ein ACP [falls gewünscht] in mysqli mit absoluter Sicherheit online zu bringen. Ich weiß nur nicht, was man alles braucht, ich schreib dir immer nur für mich selbst ^^'

    AntwortenLöschen

Coprights @ 2016, Blogger Templates Designed By Templateism | Distributed By Gooyaabi Templates