anpera.net

Hallo,
es geht um folgenden Auszug aus der user.php (Bei mir Zeile 226):
[php]if ($_POST['oldname']!=$_POST['name']) {[/php]
Das sollte eiegntlich bewirken, dass die Anweisungen die danach kommen nur ausgeführt werden, wenn der Name nicht geändert wurde, hab ich Recht?
Nur das funktioniert nicht. Die Anweisumngen, die danack kommen werden auch ausgeführt, wenn man den Namen so lässt wie er ist.
Ich habe an dieser Stelle im Code (soweit ich mich erinnere) nichts geändert. Kann es sein, dass dieser Bug schon in der zum Download angebotenen Version enthalten ist?

_________________
Erschaffe einen Charakter und trete ein in die Welt der Fantasie.
Reise nach Kerhoat, treffe auf seine Helden und beschütze es vor dem Grünen Drachen!
Nach Kerhoat reisen

Du meinst wohl, dass es nur ausgeführt wird, wenn der Name geändert wurde?

Denn
[php]!=[/php]
bedeutet ja NICHT gleich

Natürlich. Du hast Recht.

_________________
Erschaffe einen Charakter und trete ein in die Welt der Fantasie.
Reise nach Kerhoat, treffe auf seine Helden und beschütze es vor dem Grünen Drachen!
Nach Kerhoat reisen

Ich habe wirklich das Gefühl, dass das ein Bug ist, denn die Befehle inner halb von [php]if ($_POST['oldname']!=$_POST['name']) {
...
}[/php] werden auch ausgeführt, wenn der Name nicht geändert wurde. Mein Verdacht wird dadurch bestärkt, dass die Variable $_POST['oldname'] in der Datei nicht definiert ist (sie kommt nirgendwo anders vor und erzeugt keine Ausgabe).
Hat jemand ein ähnliches Problem?

_________________
Erschaffe einen Charakter und trete ein in die Welt der Fantasie.
Reise nach Kerhoat, treffe auf seine Helden und beschütze es vor dem Grünen Drachen!
Nach Kerhoat reisen

stimmt...das ist wirklich nicht definiert....

Eigentlich sollte es ja ein Ein $_POST-Feld irgendwo geben...aber da ist wirklich nichts..auch sonst nicht aufzufinden... Möglicherweise einfach nur ein Überbleibsel...

Nein, ein Überbleibsel ist das nicht. Ich habe diese Funktion damals übernommen, um sicherzustellen, dass Login-Name und Charaktername immer übereinstimmen und man da keinen Mist machen kann. Das war in der ursprünglichen Version ne ziemlich wackelige Angelegenheit, wenn ich mich recht erinner.

Diese Abfrage ergibt natürlich immer true, weil $_POST['oldname'] immer "" ist, während in $_POST['name'] immer der Name drin steht.
Wer von dieser Abfrage profitieren will, muss sich glaub ich Chaosmakers erweiterte showform-Funktion in der common.php installieren... bin mir da aber nicht sicher.

_________________
Praxis ist, wenn alles klappt aber keiner weiß warum. Theorie ist, wenn man weiß wie es geht, aber nichts klappt. Wir haben beides erfolgreich vereinigt: Bei uns klappt nichts und keiner weiß warum!

Neues Video: Marios freier Tag in Second Life

Danke, anpera. Aber warum ist diese Abfrage dann überhaupt noch da?

Könnte man nicht einfach ein verstecktes Formularfeld namens oldname erstellen?

_________________
Erschaffe einen Charakter und trete ein in die Welt der Fantasie.
Reise nach Kerhoat, treffe auf seine Helden und beschütze es vor dem Grünen Drachen!
Nach Kerhoat reisen

Unklug. Versteckte Formularfelder könnten manipuliert werden

Aber doch nur von Leute, die Zugriff auf diese Seite haben und wenn sie dann CSS deaktivieren, oder?
Man sollte doch Vertrauen zu den Leuten haben, die man in die Admingrotte lässt.

_________________
Erschaffe einen Charakter und trete ein in die Welt der Fantasie.
Reise nach Kerhoat, treffe auf seine Helden und beschütze es vor dem Grünen Drachen!
Nach Kerhoat reisen

Ubs, user.php... Naja. Da kann man eh machen was man will *g*
Sorry

Aber CSS muss man nicht deaktivierten. Mann muss nur den HTMl-Quellcode sehen und sich was basteln, ganz einfach.

Oder solche "netten" Firefoxplugins wie Tamperdata verwenden, dann sind auch alle möglichen Hidden-Values eine Lücke.

_________________
LoGD-Server ist zwar weg aber jetzt kommt das nächste Projekt, mehr dazu auch Hier

Sagte mal irgend so n' Tier in der PC-Industrie. Und recht hat er!
Es ist törricht dem User zu glauben alle Daten würden so sein wie man will. aus radio-buttons mit einer Zahl die vielleicht direkt in den Query gebaut wird - ohne maskierung - lässt sich schnell ein String zaubern mit dem man den ganzen Query manipulieren kann.
Schnell einmal ist man statt männlich oder weiblich plötzlich "2" (LoGD bis 1.0.6 ohne Fix!), schnell kann man in der Admingrotte was posten obwohl man auf dem Dorfplatz ist (Ungelöst!!)
Man braucht nichtmal so ein Plugin. Obwohl dies sicher die Arbeit erleichtern könnte *g*