FWH.CC => Domain verkauft

[RumpelnderDreck]

Leute, er wird sich schon melden. Stellt ihn doch nicht noch weiter unter Zeitdruck

[Knuffel-Wuffel]

det is kein zeitdruck... det is pure vorfreude.

[Knuffel-Wuffel]

nee, china is zensiert und freewar propagieren die wenn nur gegen taiwan

[Flummi]

China ist .cn wenn es mich nicht täuscht.

[Lesezeichen]

Gebt mir ein paar Tage Zeit, dann könnt ihr die Funktionen wieder verwenden..
momentan aber aufgrund WM nicht gerade viel Zeit dafür..

LOL

[Sotrax]

Ich habe bereits Zugriff auf eine Beta-Version des Services bekommen. (Dafür danke nochmals). Ich denke daher, es wird nicht so lange dauern, bis wieder alle drauf zugreifen können

[Latzhosenträger]

Würds gut finden, wenn das auf offiziellen Servern liegt

[Lesezeichen]

unterschied zu nicht offiziellen servern?

Daß sowas, wie es momentan der Fall ist, nicht wieder vorkommt oder die Seite permanent wegfällt.

[hackerzzzz]

Wenn ich mir den Quellcode anschaue:
[..]
Da wird mir ja schon schlecht wenn ich das unescapte da sehe…

ein kleines array_map mit mysql_real_escape_string - für $_POST wäre mal nicht schlecht… Es geht ja eh alles an die DB und der Rest hat eh nichts was zu escapen wäre…

[Benu]

Und woher kommen deine Kenntnisse über die php.ini. Soll auch Leute geben, die magic_quotes anhaben

Zudem versteh ich nicht warum jeweils auf '', '%' und '%%' gecheckt wird. '%%' reicht doch

[bwoebi]

Ach stimmt, vergessen:

SpoilerShow

Code: Alles auswählen

magic_quotes_gpc	=	On		; magic quotes for incoming GET/POST/Cookie data

Die sind tatsächlich on…

EDIT:

Zudem versteh ich nicht warum jeweils auf '', '%' und '%%' gecheckt wird. '%%' reicht doch

Frag hackerzzzz das, nicht mich…

[Sotrax]

Man braucht nichtmal unbedingt magic_quotes, die ja eh in PHP6 wegfallen, man kann auch manuell mit einem include das $_REQUEST Array durchescapen. So stellt man zumindest sicher, dass man nicht ausversehen etwas vergessen kann.

Die größte Sicherheit hat man in jeder Programmiersprache, wenn man es so konzipiert, dass man garnichts falsch machen kann. Leider wird das meist nicht angewendet, siehe Buffer-Overflow Bugs in vielen Programmen die sich durch konsequente Anwendung von Smartpointern und entsprechenden Klassen generell verhindern lassen.

Ich kenne diesen Code zwar hier nicht, aber ich sehe es auch nicht generell als Sicherheitslücke, wenn nicht direkt an jeder Einzelstelle escaped wird, sondern das ganze global geregelt ist. Allerdings muss man dann eben auch sicherstellen, dass man es garantiert global regelt, sonst hat man ein Problem

[bwoebi]

Löscht einfach den ganzen Post @F-Mods

[hackerzzzz]

Die Seite wird erst wieder verfügbar sein, wenn alle Sicherheitslücken geschlossen wurden. Das kann dauern.
Wer sich dafür zu verantworten hat, muss ich hier ja nicht sagen, spielt keine Rolle.

Und damit sich Lesezeichen nicht wieder über etwas lustig machen kann,
werde ich nun auch keinen zeitlichen Punkt bekannt geben. Es wird aber sicher nicht in den nächsten zwei Tagen passieren.

Tut mir leid für die Seite und die User, aber es gibt Dinge, die ich nicht tolerieren kann.
Per SQL-Injection Daten klauen gehört dazu.

[bwoebi]

Wer sich dafür zu verantworten hat, muss ich hier ja nicht sagen, spielt keine Rolle.
Per SQL-Injection Daten klauen gehört dazu.

Wer es wohl war

Und nein, ich habe keine SQL-Inj gemacht, ich wollte bloß darauf hinweisen.