WebsiteBaker Support (2.12.x) > Modules

Swift-Gallery

<< < (7/12) > >>

evaki:

--- Quote ---Dieses ist nach Speichern nicht mehr ausgewählt, weshalb nochmaliges Speichern wegen zB Änderung des Titels, ein leeres Verzeichnis speichert.
--- End quote ---
Genau das war mMn schon in der Vorlage so.
Wenn man aber das zum Galerienamen gehörende Verzeichnis anwählt, und dann den Titel ändert, scheint es zu funktionieren, wenn ich recht erinnere. Ist natürlich doof, wenn man dafür erst ins FE gucken muß. Das war aber genau das, was mir schon früh auffiel.

Da ich nun den Sicherheitsschei... an der Backe habe, geht das erstmal vor.
"htmlspecialchars" war ein Schnellschuß, da der mir anscheinend wg. der Konvertierung die Syntax zerhaut. Ich weiß genau, warum ich mir das php-Zeugs im "normalen" Leben nicht antue.
Mit'm Hammer und Nägel kann man ein ganzes Haus zusammenbauen. (ich weiß, mit php auch  :-D :-D :-D )

evaki:
@jacobi22
Dein Beispiel kam gerade recht, als ich merkte, daß ich direkt bei der gallery_id ansetzen muß,
  - (Schlußfolgerung aus dem "ich probier das mal mit Filtern"-Schnellschuß) -
Schön, daß ich mich nun mit den Unterschieden von $_REQUEST,  $_GET und $_POST beschäftigen darf, statt Schoppen zu gehen  :roll:
Das Leben könnte soooo schön sein.

Da kommt noch was: Sehe soeben, daß -ich habs über request gemacht, - die XSS + injection Meldungen ausblieben. Das wichtigste scheint an dieser Stelle wohl die Verknüpfung/Bedingung (AND is_numeric) zu sein (da jaulte der Scanner) Falls die Galerie jetzt noch immer funktioniert,  könnte es das gewesen sein. Nochmal 'nen kompletten Durchlauf machen.

MfG. Evaki

jacobi22:
nur mal theoretisch  - $REQUEST ist beides, GET und POST. Bekannt ist die Funktion der beiden Variablen, es wird die Galerie-ID und der Startwert übergeben, jeweils eine Zahl. Wir wissen weiterhin, das dies nur per GET vom Original-Script kommen kann, also macht man die POST-Tür schon mal zu, indem man kein $REQUEST nimmt.
Ohne die Festlegung auf numerisch kann jeder Wert gesendet werden, also auch eine SQL-Injection, ein Javascript usw. Diese würde aber nicht gehen ohne Buchstaben und/oder Sonderzeichen. Auf Anhieb kenn ich da keine, die so funktionieren würde.
Natürlich ließe sich auch der obige Code noch weiter optimieren, in dem man z.b. die in Frage kommenden Gallery-ID und die Range der möglichen Startwerte ausliest, dann dürfte als Beispiel gallery_id nur die Werte 1,2,4 und 5 haben (weil ich nur diese Galerien angelegt habe), nicht etwa 3 und auch nicht 6 und Start dann nur 1,11,21, 31 usw, nicht aber 32 oder 38.
Und kommt ein Wert falsch an, weil bewußt versucht, etwas anderes als das Erlaubte zu versuchen,  oder fehlerhaft übermittelt, am Schluß dann die Absicherung auf die Default_Gallery-ID und den Startwert 0 bzw 1

Aber wie du oben schon sagtest, ist seit 2006 so und vom Grundprinzip arbeiten alle Module mit Seiten-Pagination ähnlich - heißt aber nicht, das es so bleiben muß  ;-)

evaki:

--- Quote ---heißt aber nicht, das es so bleiben muß
--- End quote ---
Weshalb Du ja was neues machst, und ich "nur" versuche - man vergesse nicht, daß ich Laie bin - das 2006er-Modul an die aktuelle Umgebung anzupassen. Wobei dann immer wieder so'n büsschen Lerneffekt dabei ist. Programmieren überlaß ich sinnvollerweise denen die's können.
(Das hatte ich mal gaaaanz früher, auf 'ner komplett anderen Schiene, weshalb das Mitdenken an einigen Stellen noch fruchtbar ist. Das isses dann aber auch schon.)
MfG. Evaki

jacobi22:
War das nicht gut geschrieben zum Verstehen?   :wink:

War kein Vorwurf an Niemanden und auch an keinen speziellen Empfänger gerichtet. Solang das Zeugs OpenSource ist und es dementsprechend auch viele Altlasten gibt, wird man damit leben müssen, das Leute auch ihr eigenes Kram machen, auch dafür bietet WB ja ideale Voraussetzungen. Vielleicht hätte man es in den Anfangsjahren schon strenger limitieren müssen, speziell diese Sache war ja damals auch schon relevant

Navigation

[0] Message Index

[#] Next page

[*] Previous page