Willkommen, Gast ( Anmelden | Registrierung )     [ Hilfe | Mitglieder | Suche ]

 
Reply to this topicStart new topic
> Modul: Gästebuch
MaZderMind
Beitrag Tue. 14. November 2006, 00:11
Beitrag #1


Advanced Member
********

Gruppe: AdvancedMembers
Beiträge: 680
Mitglied seit: 09.08.2006
Wohnort: nähe Mainz
Mitglieds-Nr.: 182



In Zeile 181 des Moduloutputs steht
QUELLTEXT
if($sess->name == 'cms') {

Der Backend-Sessionname lautet allerdings "sefrengo". Daher muss die Zeile korrekt lauten
QUELLTEXT
if($sess->name == 'sefrengo') {


Durch diesen Fehler wird auch beim Bearbeiten eines Gästebucheintrages das Frontend-Formular ausgegeben und deswegen das Feld "Antwort" bzw. "Kommentar 2" nicht mit ausgegeben.
Meiner Meinung sollte an dieser Stelle allerdings besser
QUELLTEXT
if($view == 'edit') {

verwendet werden, da damit auch zw. Bearbeiten- und Vorschau-Modus unterschieden werden kann.

Eine korrigierte Version habe ich im Modul-Bereich gepostet, aber da es sich um ein Standardmodul handelt ist es IMHO ein Bug im Release.

Gruß, Peter
Go to the top of the page
 
+Quote Post
bjoern
Beitrag Tue. 21. November 2006, 01:31
Beitrag #2


Administrator
********

Gruppe: Members
Beiträge: 1.092
Mitglied seit: 16.06.2006
Wohnort: Köln
Mitglieds-Nr.: 1



Für Modulbugs habe ich ein neues Forum eingerichtet. ich schieb den beitrag da mal rein.


--------------------
Es wird, es wird...
Go to the top of the page
 
+Quote Post
MaZderMind
Beitrag Tue. 21. November 2006, 22:49
Beitrag #3


Advanced Member
********

Gruppe: AdvancedMembers
Beiträge: 680
Mitglied seit: 09.08.2006
Wohnort: nähe Mainz
Mitglieds-Nr.: 182



Hi
Ein weiterer Bug: Quotes " und ' werden mit \" und \' in die DB geschrieben. Das liegt an den set_magic_quotes_gpc-Aufrufen in den Einfügeroutinen ab Zeile 232. Auskommentiert und fertig.
Cool wäre es auch noch wenn folgender code zur Linkerkennung eingebaut würde, der macht aus eingegeben Links anklickbare HTML-Links (so ab Zeile 496 vor die {VARIABLE}-Replaces) einfügen:
QUELLTEXT
            $search  = '((http|https|ftp):\/\/(?:[a-zA-Z0-9][a-zA-Z0-9\=._-]*\.)*[a-zA-Z0-9][a-zA-Z0-9._-]*\.[a-zA-Z]{2,5}\/?[\x21\x23-\x27\x2A-\x3B\x3D\x3F-\x7E]*)';
            $replace = '<a href="\0">\0</a>';
            $gb[$i]['comment'] = preg_replace("@$search@i", $replace, htmlspecialchars($gb[$i]['comment'], ENT_COMPAT, 'UTF-8'));
            $gb[$i]['comment2'] = preg_replace("@$search@i", $replace, $gb[$i]['comment2']);

und dafür den htmlspecialchars-Aufruf in der darauffolgenden Ausgabe von {comment} löschen.

Gruß, Peter
Go to the top of the page
 
+Quote Post
mistral
Beitrag Wed. 22. November 2006, 08:43
Beitrag #4


Advanced Member
*******

Gruppe: AdvancedMembers
Beiträge: 343
Mitglied seit: 26.06.2006
Wohnort: CH
Mitglieds-Nr.: 5



ZITAT
Ein weiterer Bug: Quotes " und ' werden mit \" und \' in die DB geschrieben. Das liegt an den set_magic_quotes_gpc-Aufrufen in den Einfügeroutinen ab Zeile 232. Auskommentiert und fertig.


Bist du Dir sicher, dass das ein Bug ist?

Dein Wunsch das Links anclickbar sind finde ich nicht gut, dass kann zu einem Sicherheisproblem werden.


--------------------
So einfach wie möglich, aber nicht einfacher!
(Albert Einstein)
Go to the top of the page
 
+Quote Post
MaZderMind
Beitrag Wed. 22. November 2006, 13:39
Beitrag #5


Advanced Member
********

Gruppe: AdvancedMembers
Beiträge: 680
Mitglied seit: 09.08.2006
Wohnort: nähe Mainz
Mitglieds-Nr.: 182



Dann halt abschaltbar einbauen, wers nicht mag / Probleme hat der kans dann deaktivieren.
Es ist ein Bug da die Texte auch genau so, also mit Slashes ausgegeben werden.

Gruß, Peter
Go to the top of the page
 
+Quote Post
Olaf
Beitrag Wed. 22. November 2006, 13:59
Beitrag #6


Advanced Member
********

Gruppe: AdvancedMembers
Beiträge: 613
Mitglied seit: 30.06.2006
Mitglieds-Nr.: 30



IMHO steckt der Bug dann aber an anderer Stelle, oder!? Ist doch von Vorteil wenn die escaped werden, so kenn ich das. Sollten beim Auslesen entfernt werden oder seh ich das falsch?


--------------------
Gruß Olaf aus Ohorn

Lieber spät und richtig als nie und falsch.
Go to the top of the page
 
+Quote Post
MaZderMind
Beitrag Wed. 22. November 2006, 15:08
Beitrag #7


Advanced Member
********

Gruppe: AdvancedMembers
Beiträge: 680
Mitglied seit: 09.08.2006
Wohnort: nähe Mainz
Mitglieds-Nr.: 182



ZITAT
Ist doch von Vorteil wenn die escaped werden

Hmm ich hab eben mal ien paar Standard-SQL-Injection-Tests gemacht und die ham nicht funktioniert...

Gruß, Peter
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



RSS Vereinfachte Darstellung Aktuelles Datum: 28.3.24 - 16:18

Sefrengo ist ein eingetragenes Markenzeichen und urheberrechtlich geschützt.
Copyright 2009 Design & Daten, Alle Rechte vorbehalten.