c++.de :: PHP-ORM (MySQL)

Patrick_C64 Mitglied 09:46:41 27.04.2012 Titel:

Hi, also ich packe eigtl. immer mit Rar.

Hätte auch spontan keine Idee was ich sonst anbieten sollte, gerade weil es sich in diesem Zusammenhang um ein kleines Packet handelt welches an Anwendungsprogrammierer als Zielgruppe gerichtet ist welche i.d.R. ein Programm auf dem Rechner haben welches das Rar Format entpacken kann. Dachte ich zumindest.

Ich kann dich nicht zwingen ein derartiges Programm zu Installieren, aber wenn du dich für das Interface interessierst und Dir es vllt. auch nützlich sein kann sollte dies ein geringes Übel darstellen.

Unregistrierter

zip ist relativ universell... und soo groß wird der kompressionsunterschied ja nicht sein

Patrick_C64 Mitglied 09:53:50 27.04.2012 Titel:

Zitat:

http://www.wobzip.org/file/XOjJP

Zitat:
<span style="visibility: hidden"><a href="http://www.xteenporn.net/" title="deutsch porno">deutsch porno</a><span style="visibility: hidden">deutsch porno</span></a>

<div style="display: none;">

<a href="http://t0fan.blogspot.com" title="özgün blog">özgün blog</a>

</div>
was macht das da :eek:

ist das bei euch auch oder hat das die seite einfach unverschämter weise angehängt :confused:

*PAAANIIKKKKK

Ich dachte im ersten Moment du meintest das kahm von meiner Seite *Schweiss abwisch

Denn mein CMS habe ich KOMPLETT in der letzten Woche geschrieben um mein Interface ausserhalb des Abschlussprojektes einzusetzen, und somit auch ein wenig die Fehlerfreiheit zu Prüfen die mir aufgrund der Gesamtsituation in dem Umfang (also im Produktivem Einstaz, Unittest waren natürclich Verbindlich!! )innerhalb der Realisierung des Projektes nicht möglich war/ist.

Und bei meinem ersten CMS hatte ich XSS Attacken

aber naja, aus Fehlern und Räder neu Erfinden lernt man halt :o)

.

Unregistrierter

was mir total abgeht und umbedingt geändert werden muss, falls ich es nicht übersehen hab, ist das escapen der parameter also z.b. hier und fast an jeder stelle, wo du einen sql string bastelst, wo die werte vom user kommen

DBC.php zeile: 479

Code:
1 2 3 4 5 6 7 8 9 10 11 12 13	$value="'".$value."'"; if($count) $arg_set .=", "; $count++; $arg_set .= "`".$key."`=".$value;

Unregistrierter

umbedingt -> unbedingt :rolleyes:

Patrick_C64 Mitglied 10:11:29 27.04.2012 Titel:

Ich dachte es sollte in der Verantwortung des Anwendungsprogrammiers bzw. der Schicht die darüber liegt liegen. Falls du in dem Zusammenhang das Prüfen und ersetzen auf gefährliche Zeichenfolgen meinst.

Wenn ich dich falsch verstanden habe korrigiere mich bzw. werde noch mal genauer.

EDIT:

Achso es wird gepfrüft ob es ein Numerischer Wert ist, ist es eine Zeichenfolge (also ein String) wird dieser in Hochkommas gesetzt damit selbst "gefährliche" Eingaben bzw. Daten als solche und nicht als Statement Interpretiert werden.

mfg. Patrick

(Edit: schnelle Kommunikation m.E. erfordert nicht das vorhandensein einer 100% korrekten Rechtschreibung (im schreibfluss enstehen fehler, eine korrektur ist zeitwaufwendig!), wesentlich ist das man Fähig ist das Wesentliche zu verstehen bzw. rauszufiltern. Musst also so unswesentliche Fehlerchen hier nicht Verbessern, in einer Fach und Dipl. Arbeit sieht das natürlich anders aus das ist mir durchaus Bewusst

)

Unregistrierter

Patrick_C64 schrieb:

Kann ich machen. Allerdings dachte ich es sollte in der Verantwortung des Anwendungsprogrammiers bzw. der Schicht die darüber liegt liegen. Falls du in dem Zusammenhang das Prüfen und ersetzen auf gefährliche Zeichenfolgen meinst.

würd es gleich in die dbc klasse einbauen... wenn ich mich richtig erinnere, ist die funktion auch sehr speziell bzw. benötigt eine mysql verbindungs-kennung und dann muss das in die dbc klasse. und den benutzer der 'library' escapen lassen ist keine gute idee, dafür baut man sich doch eine abstraktionsklasse, damit man solche fehler ausschließt :confused:

Patrick_C64 Mitglied 11:29:26 27.04.2012 Titel:

Also so wie Ich dich verstanden habe, ist eigtl. alles im Lot was du angesprochen hast ist gegeben!

Da nur numerische Werte "unescaped" in den Query gelangen

! Die Prüfung erfolgt auf unterster Ebene im DBC, welches bis auf Constructor, Connect so wie DatabaseSet und Get im Umfang meines Projektes unrelevant sind, und für sich als eigenständiges Interface betrachtet werden kann. Es stellt lediglich der ORMC und ORMO Klasse Funktionen zur direkten unkomplizierten Kommunikation mit dem DBMS zur Verfügung.

Habe auch schon über mein CMS viel probiert um SQL injection zu provozieren, ohne Erfolg. Also m.E. alles gut, wenn es jemand besser weiss ich lasse mich gerne belehren, das dient ja auch der Sache!

mfg. Patrick

Unregistrierter

http://php.net/manual/de/function.mysql-real-escape-string.php des muss einfach iwo rein... ich finds in keiner datei

Patrick_C64 Mitglied 12:26:21 27.04.2012 Titel:

Du verunsicherst mich

Deswegen habe ich es mal direkt geteset!

Das Beispiel auf der 1. Seite ist 1:1 Lauffähig wenn die Verbindung zu einem DBMS gegeben ist!

Ich habe mal folgene Zeilen beim erstellen einer Person benutzt, also den Namen mit potentiell gefährlichem gefühlt, denke ich zumindeset.

Alles sauber, keine Probleme!, Anscheinend doch einen der Wege genommen die nach Rom führen

PHP:
$newUser = $ormCUser->NewObject(); $newUser->firstname ="Peter %s \x00 ' SELECT * FROM; \n \r "; $newUser->lastname ="Lustig";

Wenn du es schaffst über das Setzen eines Attributwertes eine SQL Injection auszulösen dann werde ich deinen Ratschlag nochmal berücksichtigen.

Ansonsten sehe ich da erstmal keinen Handlungsbedarf, Bedanke mich aber für deinen Konstruktiven Vorschlag und Beitrag, auch wenn mir dieser momentan nicht relevant erscheint!

mfg. Patrick