Unklug. Versteckte Formularfelder könnten manipuliert werden
| anpera.net https://anpera.dyndns.org/phpbb3/ |
|
| Namesänderung - Bug? https://anpera.dyndns.org/phpbb3/viewtopic.php?f=34&t=2508 |
Seite 1 von 1 |
| Autor: | Tronan [ So 30 Apr, 2006 16:40 ] |
| Betreff des Beitrags: | Namesänderung - Bug? |
Hallo, es geht um folgenden Auszug aus der user.php (Bei mir Zeile 226): [php]if ($_POST['oldname']!=$_POST['name']) {[/php] Das sollte eiegntlich bewirken, dass die Anweisungen die danach kommen nur ausgeführt werden, wenn der Name nicht geändert wurde, hab ich Recht? Nur das funktioniert nicht. Die Anweisumngen, die danack kommen werden auch ausgeführt, wenn man den Namen so lässt wie er ist. Ich habe an dieser Stelle im Code (soweit ich mich erinnere) nichts geändert. Kann es sein, dass dieser Bug schon in der zum Download angebotenen Version enthalten ist? |
|
| Autor: | Harthas [ So 30 Apr, 2006 16:43 ] |
| Betreff des Beitrags: | |
Zitat: Das sollte eiegntlich bewirken, dass die Anweisungen die danach kommen nur ausgeführt werden, wenn der Name nicht geändert wurde, hab ich Recht?
Du meinst wohl, dass es nur ausgeführt wird, wenn der Name geändert wurde? Denn [php]!=[/php] bedeutet ja NICHT gleich |
|
| Autor: | Tronan [ So 30 Apr, 2006 16:50 ] |
| Betreff des Beitrags: | |
Natürlich. Du hast Recht. |
|
| Autor: | Tronan [ Mi 17 Mai, 2006 15:27 ] |
| Betreff des Beitrags: | |
Ich habe wirklich das Gefühl, dass das ein Bug ist, denn die Befehle inner halb von [php]if ($_POST['oldname']!=$_POST['name']) { ... }[/php] werden auch ausgeführt, wenn der Name nicht geändert wurde. Mein Verdacht wird dadurch bestärkt, dass die Variable $_POST['oldname'] in der Datei nicht definiert ist (sie kommt nirgendwo anders vor und erzeugt keine Ausgabe). Hat jemand ein ähnliches Problem? |
|
| Autor: | Harthas [ Mi 17 Mai, 2006 16:32 ] |
| Betreff des Beitrags: | |
stimmt...das ist wirklich nicht definiert.... Eigentlich sollte es ja ein Ein $_POST-Feld irgendwo geben...aber da ist wirklich nichts..auch sonst nicht aufzufinden... Möglicherweise einfach nur ein Überbleibsel... |
|
| Autor: | anpera [ Mi 17 Mai, 2006 17:13 ] |
| Betreff des Beitrags: | |
Nein, ein Überbleibsel ist das nicht. Ich habe diese Funktion damals übernommen, um sicherzustellen, dass Login-Name und Charaktername immer übereinstimmen und man da keinen Mist machen kann. Das war in der ursprünglichen Version ne ziemlich wackelige Angelegenheit, wenn ich mich recht erinner. Diese Abfrage ergibt natürlich immer true, weil $_POST['oldname'] immer "" ist, während in $_POST['name'] immer der Name drin steht. Wer von dieser Abfrage profitieren will, muss sich glaub ich Chaosmakers erweiterte showform-Funktion in der common.php installieren... bin mir da aber nicht sicher. |
|
| Autor: | Tronan [ Mi 17 Mai, 2006 18:03 ] |
| Betreff des Beitrags: | |
Danke, anpera. Aber warum ist diese Abfrage dann überhaupt noch da? Könnte man nicht einfach ein verstecktes Formularfeld namens oldname erstellen? |
|
| Autor: | Eliwood [ Mi 17 Mai, 2006 18:14 ] |
| Betreff des Beitrags: | |
Unklug. Versteckte Formularfelder könnten manipuliert werden
|
|
| Autor: | Tronan [ Mi 17 Mai, 2006 18:55 ] |
| Betreff des Beitrags: | |
Eliwood hat geschrieben: Unklug. Versteckte Formularfelder könnten manipuliert werden
Aber doch nur von Leute, die Zugriff auf diese Seite haben und wenn sie dann CSS deaktivieren, oder? Man sollte doch Vertrauen zu den Leuten haben, die man in die Admingrotte lässt. |
|
| Autor: | Kevz [ Mi 17 Mai, 2006 19:13 ] |
| Betreff des Beitrags: | |
Bist du dir da sicher? Komm ich Registrier mich mal bei dir und Erstelle ohne Admin rechte einige Beiträge an Orten wo du es niemals für möglich halten würdest. 
|
|
| Autor: | Eliwood [ Mi 17 Mai, 2006 19:20 ] |
| Betreff des Beitrags: | |
Ubs, user.php... Naja. Da kann man eh machen was man will *g* Sorry
Aber CSS muss man nicht deaktivierten. Mann muss nur den HTMl-Quellcode sehen und sich was basteln, ganz einfach. |
|
| Autor: | Kakerlake [ Mi 17 Mai, 2006 20:05 ] |
| Betreff des Beitrags: | |
Oder solche "netten" Firefoxplugins wie Tamperdata verwenden, dann sind auch alle möglichen Hidden-Values eine Lücke. |
|
| Autor: | Eliwood [ Mi 17 Mai, 2006 21:10 ] |
| Betreff des Beitrags: | |
Kakerlake hat geschrieben: Oder solche "netten" Firefoxplugins wie Tamperdata verwenden, dann sind auch alle möglichen Hidden-Values eine Lücke. Zitat: All Userdate are evil!
Sagte mal irgend so n' Tier in der PC-Industrie. Und recht hat er! Es ist törricht dem User zu glauben alle Daten würden so sein wie man will. aus radio-buttons mit einer Zahl die vielleicht direkt in den Query gebaut wird - ohne maskierung - lässt sich schnell ein String zaubern mit dem man den ganzen Query manipulieren kann. Schnell einmal ist man statt männlich oder weiblich plötzlich "2" (LoGD bis 1.0.6 ohne Fix!), schnell kann man in der Admingrotte was posten obwohl man auf dem Dorfplatz ist (Ungelöst!!) Man braucht nichtmal so ein Plugin. Obwohl dies sicher die Arbeit erleichtern könnte *g* |
|
| Autor: | Kevz [ Mi 17 Mai, 2006 21:39 ] |
| Betreff des Beitrags: | |
Hehe, Eliwood. Darauf bezog sich auch mein Post einige davor*fg* LotGD ist einfach noch zu unsicher und die Übermittlung noch nicht Perfekt. |
|
| Seite 1 von 1 | Alle Zeiten sind UTC + 1 Stunde |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|