Willkommen, Gast ( Anmelden | Registrierung )     [ Hilfe | Mitglieder | Suche ]

> Sefrengo v1.6.1
mvsxyz
Beitrag Sun. 4. January 2015, 15:32
Beitrag #1


Advanced Member
********

Gruppe: Admins
Beiträge: 507
Mitglied seit: 27.06.2006
Mitglieds-Nr.: 11
Sefrengo v1.6.1

Dokumente
Die Installation - Sefrengo auf einem Webserver oder einer lokalen Trainigsumgebung installieren
Update einer Sefrengo Installation - Ein ausführlicher Updateleitfaden
FAQ - Installation
Die erste Sefrengo Seite, Schritt für Schritt - Anfängertutorial

Beim Update beachten
  • Backup der Datenbank und des Dateisystems vor dem Update nicht vergessen!
  • Updateleitfaden beachten - insbesondere das Verzeichnis projektXX/cms/fckeditor muss gegen den neuen projektXX/cms/ckeditor ersetzt werden.


Changelog - Änderungen v1.6.1 zu v1.6.0
QUELLTEXT
See full changelog at <https://github.com/sefrengo-cms/sefrengo-1.x/commits/v1.6.1>

* FIXED: Check numeric variables to prevent SQL injections
* FIXED: Converted searchterm to HTML entities
* FIXED: Updated CKEditor to v4.4.6
* ADDED: Added HTML5 doctype to select in edit layout (thanks to dederpapst3000)



Angehängte Datei(en)
Angehängte Datei  sefrengo_1.x_1.6.1.zip ( 2.89MB ) Anzahl der Downloads: 2349
 
Go to the top of the page
 
+Quote Post
 
 Start new topic
Antworten
sidd
Beitrag Tue. 13. January 2015, 07:28
Beitrag #2


Sefrengo Reloaded
***

Gruppe: Members
Beiträge: 62
Mitglied seit: 14.06.2012
Wohnort: Gransee
Mitglieds-Nr.: 2.487
wenn eine zahl erwartet wird, wäre es nicht besser, statt addslashes, intval zu benutzen?

QUELLTEXT
// check numeric vars to prevent SQL injection errors
$numeric_vars = array('idclient','idlang','idbackendmenu','idcatlang','idcat','idcatside','iduser','idtpl','idtplconf','parent','rootparent','sortindex','idlay','author','visible','idside','is_start','idclientslang','idcode','idcontainer','idmod','idplug','idcontainerconf','idcontent','idsidelang','idtype','container','number','online','idcss','idcssupl','idupl','sid','iddirectory','parentid','idfiletype','idgroup','idjs','idlang','is_start','idlayupl','idperm','idrepository','idside','idtracker','user_id','idvalues','idval','u_g_id','value_id');

foreach($numeric_vars as $varname) {
    if(isset($$varname) && !(empty($$varname) || is_int($$varname))) {
        //die('ERROR! Found non-numeric variable which must be numeric! Execution was stopped, due to a possible SQL injection.');
        $$varname = intval($$varname);
    }
}


Der Beitrag wurde von sidd bearbeitet: Tue. 13. January 2015, 07:32


--------------------
Sefrengo | Das CMS passend für viele Gelegenheiten ;)
Go to the top of the page
 
+Quote Post
mvsxyz
Beitrag Tue. 13. January 2015, 10:13
Beitrag #3


Advanced Member
********

Gruppe: Admins
Beiträge: 507
Mitglied seit: 27.06.2006
Mitglieds-Nr.: 11
ZITAT(sidd @ Tue. 13. January 2015, 07:28) *
wenn eine zahl erwartet wird, wäre es nicht besser, statt addslashes, intval zu benutzen?


Gute Idee! Das könnte allerdings zu unerwarteten Ergebnissen führen, da er evtl. einen falschen int value ausließt. Wenn ich mögliche Eingaben mit addslashes escape, dann findet die DB keinen Eintrag und bricht die Ausführung ab.
Go to the top of the page
 
+Quote Post

Beiträge in diesem Thema
- mvsxyz   Sefrengo v1.6.1   Sun. 4. January 2015, 15:32
- - mvsxyz   Ich danke Steffen Rösemann für die gefundenen Si...   Sun. 4. January 2015, 22:30
- - FireFlyer   Nach dem Update von 1.4.5 auf 1.6.1 kann ich mich ...   Sat. 10. January 2015, 15:40
- - mvsxyz   Ich habe es nun so abgeändert, dass die Ausführu...   Tue. 13. January 2015, 00:31
- - sidd   wenn eine zahl erwartet wird, wäre es nicht besse...   Tue. 13. January 2015, 07:28
|- - mvsxyz   ZITAT(sidd @ Tue. 13. January 2015, 07:28...   Tue. 13. January 2015, 10:13
|- - sidd   ZITAT(mvsxyz @ Tue. 13. January 2015, 10...   Tue. 13. January 2015, 11:31
- - sidd   @FireFlyer Evtl. kannst du auch mal folgendes kurz...   Tue. 13. January 2015, 09:15
- - mvsxyz   Danke, für deinen Input. Ich werde es nochmals da...   Tue. 13. January 2015, 16:45
- - FireFlyer   @sidd: Jetzt bekomm ich die genaue Stelle angezeig...   Tue. 13. January 2015, 17:40
- - sidd   das ist das was ich vermutet hatte.... ersetzte e...   Tue. 13. January 2015, 19:09
- - FireFlyer   Klappt, wenn die sid nicht geprüft wird von SIDD...   Tue. 13. January 2015, 19:16
- - sidd   fein fein ... sid wird zwar nicht geprüft, aber ...   Tue. 13. January 2015, 19:44
- - FireFlyer   Kein Thema. Is des schön, wenn mal wieder was zus...   Tue. 13. January 2015, 19:46
- - bkm   Deprecated (mysql_real_escape_string)   Tue. 13. January 2015, 20:35
- - sidd   deswegen ZITATersetzte es vorerst (bis zum nächst...   Wed. 14. January 2015, 08:56
|- - bkm   ZITAT(sidd @ Wed. 14. January 2015, 08:56...   Wed. 14. January 2015, 18:42
- - mvsxyz   Ist ja schon gefixt im Repo. Ich werde die nächst...   Thu. 15. January 2015, 09:30
- - mvsxyz   Sefrengo 1.6.2 steht zum Download bereit und enthÃ...   Sun. 25. January 2015, 19:43

« Vorhergehendes Thema · Releases · Folgendes Thema »
 

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 

Anzeige Modus: Wechsle zu: Standard · Wechsle zu: Thema+ · Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

RSS Vereinfachte Darstellung Aktuelles Datum: 5.5.24 - 13:56

Sefrengo ist ein eingetragenes Markenzeichen und urheberrechtlich geschützt.
Copyright 2009 Design & Daten, Alle Rechte vorbehalten.

Powered By IP.Board 2.3.6 © 2024  IPS, Inc.