PHP Fragen (CMS Entwicklung)

  • Ersteller PowerShellAdmin
  • Erstellt am
P

PowerShellAdmin

Guest
edit:
da das ganze mittlerweile immer mehr wird, habe ich das mal verallgemeinert.
die ursprungsfrage hat kaum noch was mit dem aktuellen verlauf zu tun.

ziel:
cms auf php basis mit einer mysql db =>
news erstellung & verwaltung (per php) (kategorien etc)
neue seiten erstellen & verwalten
benutzerverwaltung uvm.

daher würde ich mich freuen über den sinn & die möglichkeiten zu diskutieren. gerne gesehen sind kritik und verbesserungsvorschläge (vorrausgesetzt konstruktiv).

zurzeit habe ich recht viel input im kopf, aber realistische lösungsansetze bzw möglichkeiten. diese werde ich dann weiter unten aktuell erörtern.

PS: hier geht es primär nur um das backend und die erstellung, das frontend, die ausgabe (per html etc) sind kaum von belang für mich.

ich werde hierzu mal eine planungsübersicht meinerseits (sobald formuliert) anfügen (sobald sortiert und eingeschätzt)

hi,
ich bastel zurzeit an meinem cms. hierzu überarbeite ich den adminlogin (verwalten, erstellen von news)
nun meine frage ist dies überhaupt sicher, lässt sich die $login manipulieren ?

ich habe einen login, dieser überprüft benutzername & passwort in einer mysql_DB.

login korrekt => $login=1

Session startet und er springt zu adminseite.in sämtlichen seiten ist folgende logon.php am anfang includiert.

PHP: 
<?php
session_start();
if($_SESSION[logon]!=1)

{
	/*header("Location: ..admin_login.php");*/
	header('Location: http://www.google.de');
	exit;

};

echo $_SESSION[name];

?>

2. wieso führt er header nicht aus o_O. der header MUSS vor der ausgabe stehen => Ok trifft doch zu :(, oder ?

danke

PS:

Ist es sinnvoller einen Wert zu generieren, also dann einen "zufallswert" zu nehmen.

also anstatt $login==1 abfragen z.B. =>

$login=1.SID und diesen Wert dann auch abzufragen ? Die SID ist schließlich zufällig und begrenzt gültig -.-
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich versteht leider deine erste Frage nicht, bzw finde in deinem Code keine Variable $login. Wenn du damit $_SESSION['logon'] meinst, dann kann man die nicht von aussen veraendern, da bist du soweit sicher.

2: sollte so funktionieren.

zum ps: nein, das brauchst du nicht. Werte im Session Array sind sicher und nicht von aussen manipulierbar.
 
danke für die klare antwort :)

a)
-verstehe ich das richtig ? jedes mal mit Session_start wird die session & deren zeitraum neu initialisiert. (also bei jeden seitenrauf dann in meiner administration)

=> ärgerlich eine news zu schreiben (kann ja mal 10-20min dauern) und dann geht man auf absenden => fehler (da session abgelaufen).

b)
wieso geht mein header location nicht ? es ist mir klar => davor darf KEINE ausgabe kommen. nur die logon ist auf den adminseiten direkt an erster stelle includiert (bzw dabei). der einzige code vor dem header ist der sessionstart und die ifabfrage, welche man oben sieht

(aber dies ist doch keine ausgabe oder ?`)

=> die ifabfrage funktioniert. wenn ich die adminseite aufrufe erhalte ich dann eine leere seite (ohne sessionid bzw wenn ich diese lösche). das exit wird also korrekt ausgeführt.

c) ist es sinnvoll die session id zu verstärken ? z.B. clientip auszulesen & nur wenn sessionid und client ip passen den zugriff zuzulassen ?
sprich beim logon wird per session die logon=1 und die clientip weitergereicht. auf jeder adminseite wird $logon überprüft + $clientip ....

dies sollte die sicherheit erheblich verstärken (oder liege ich hier falsch ? )

---------- Beitrag hinzugefügt um 13:54 ---------- Vorheriger Beitrag war um 13:20 ----------

so ! beim login wird die IP mit

$HTTP_SERVER_VARS['REMOTE_ADDR'];

ausgelesen und in die Session mit übergeben !

Die Logonprüfung auf allen Adminseiten sieht nun so aus:

PHP: 
<?php
session_start();
if
	(

	($_SESSION[logon]!=1) 
	
	||
	
	($_SESSION[CLIP]!=$HTTP_SERVER_VARS['REMOTE_ADDR'])

	)

{
	/*header("Location: ..admin_login.php");*/
	exit;

};



?>

Ich habe es bereits überprüft und es funktioniert, sobald ich meine IP wechsel (Routerreset) ist kein Zugriff möglich ! :)

Als Anfänger/Leihe würde ich meinen das ist sinnvoll, oder spricht was dagegen ? (zu hohe Sicherheitseinstellungen im Browser etc )
 
Zuletzt bearbeitet:
FunkyPunk1985 schrieb:
a)
-verstehe ich das richtig ? jedes mal mit Session_start wird die session & deren zeitraum neu initialisiert. (also bei jeden seitenrauf dann in meiner administration)
Zum Vergrößern anklicken....

Nicht ganz. Mit Session_start wird die alte Session übernommen, wenn sie noch gültig ist. Sollte sie nicht mehr gültig sein, wird eine neue initialisiert und damit gehen natürlich alle Werte aus der alten Session verloren.

=> ärgerlich eine news zu schreiben (kann ja mal 10-20min dauern) und dann geht man auf absenden => fehler (da session abgelaufen).
Zum Vergrößern anklicken....

Da gibt es 2 Möglichkeiten. Entweder du stellst das Session Timeout entsprechend groß ein oder aber du erlaubst dem Benutzer, dass er trotz Sessiontimeout seine Nachricht abschicken darf.
Das passiert zum Beispiel hier im Forum. Log dich hier ein, schreibe eine Nachricht, besorg dir eine neue IP (disconect) und schicke dann die Nachricht ab. Das Forum wird dich erneut zum Login zwingen aber der eingegebene Text ist nicht verloren.
Es kommt ganz darauf an wie du es programmierst.

c) ist es sinnvoll die session id zu verstärken ? z.B. clientip auszulesen & nur wenn sessionid und client ip passen den zugriff zuzulassen ?
sprich beim logon wird per session die logon=1 und die clientip weitergereicht. auf jeder adminseite wird $logon überprüft + $clientip ....
dies sollte die sicherheit erheblich verstärken (oder liege ich hier falsch ? )
Zum Vergrößern anklicken....

Das hilft nicht wirklich. Eine Session kann übernommen werden aber dazu muss der Angreifer die Sessionid erstmal kennen. Wie sollte er das machen? Der Angreifer könnte diverse Programme auf dem PC seines Opfers installieren aber wenn er das schon macht, kann er auch gleich die Logindaten ausspionieren. Er könnte sich auch ins WLAN einklinken und mithören, hätte dann aber sowieso die gleiche IP. Du siehst nicht die IP des Anwenders sondern die IP Adresse seines Routers.

Mach es lieber so wie die Banken. Sessiontimeout auf 5-15 Minuten setzen und den Benutzer beim einloggen erinnern, dass er sich doch gefälligst ausloggen soll. Dann kann praktisch niemand seine Session übernehmen.

Edit: Ich weiß jetzt allerdings nicht wie groß die Warscheinlichkeit ist, eine Sessionid einfach zufällig zu eraten. Dafür wäre die IP Adresse schon angebracht. Schaden kann es jedenfalls nicht also lass es ruhig drin. Für mehr Sicherheit solltest du aber trotzdem über die Methode der Banken nachdenken.
 
Zuletzt bearbeitet:
hm ok,
also das mit der ip ist schon klar, sprich das dies nur bis zum standort eine sicherheit zusätzlich bietet, außerdem wäre es wahrscheinlich, dass der angreifer auch dein pw und uname ausspioniert.

ich habe es dennoch mal gesetzt, es funktioniert, 1 zeile mehr code... :) eine spielerei, die aber nicht weh tut *fg*

zu den sessions selbst, ich will (habe) ein einfaches cms zu news ausgabe. das habe ich selbst vor 2 jahren mal geschrieben. danach erstmal php aufgehört.
damals hatte ich mit cookies und nicht mit sessions gearbeitet. es gibt hier lediglich ein "admin", mehr benutzer sind nicht (noch nicht nötig).
wobei ich mir überlege ein neues feld in die tabelle (mysql) einzufügen: Author, dieses Feld wird mit dem $_Session(name) direkt automatisch belegt und mit ausgegeben. Aber eine Deligierung auf Berechtigungen gibt es dann natürlich nicht (Kirche dann doch mal im Dorf lassen)

nun "update" ich das ganze, probiere es zu verbessern....

wie setze ich den timeout intervall der session fest ? ist das nicht eine globaleeinstellung und SERVERSEITIG, also daher garnicht möglich für mich in meinen webspace zu manipulieren ?

danke

Johnny ;)

PS: WIESO geht meine header location nicht ? Vielleicht wegen den Berechtigungen (die logon.php liegt im Webspace ausschließlich für den Besitzer zugänglich)
 
Zuletzt bearbeitet:
AAAAAAH !

also die Session zerschießt mir den Header :(

wie kann ich nun Header Location benutzen ? (PHP Global Off)

Hier der konkrete Fehler:

Warning: Cannot modify header information - headers already sent by (output started at /homepages/46/d66026445/htdocs/cms/admin/inc/logon.php:1) in /homepages/46/d66026445/htdocs/cms/admin/inc/logon.php on line 17
 
die session sollte dir aber nicht den header zerschiessen.
 
Kasn schrieb:
die session sollte dir aber nicht den header zerschiessen.
Zum Vergrößern anklicken....


Bei Cookies & Header darf vorher keine Ausgabe via z.B. HTML, Echo sein.
Die Login enthält nur session_start und überprüft variable, aber da ist doch keinerlei AUSGABE.
(gilt solange php global off ist). So habe ich das jedenfalls verstanden und im netz gelesen !

Das ist oben ja mein Code :(

wenn ich eine leere php mache und header location eintrage => 1a funktion.
aber in meiner logon.php mit der geöffneten session geht es nicht.

Aber das ist KEINE KEINE AUSGABE ... Es geht nicht mal wenn ich die logon direkt aufrufe, oder über session_start die header location eintrage :(
 
Zuletzt bearbeitet:
hast du ein abschliessendes ?> in der logon.php? wenn ja, schmeiss das mal raus.

edit: ich seh grad, du hast das. auf das kann und sollte man am ende der Datei verzichten. macht nur Aerger :)
 
1. <?php & ?> php hat bei mir noch nie ärger gemacht :)
beendet lediglich den php pharser und ist denke sinnvoll^^ so hab ichs jedenfalls gelernt.

2. fehler lokalisiert, in der php datei waren die binärheader korrupiert...mein code ist ok & funktioniert *fg*

=> fehler lag an einer korrupten php datei
=>manchmal habe ich vor der ausgabe =° oder ähnliche 2 sonderzeichen erhalten. daher habe ich eine leere neue php datei erstellt, den code eingefügt => es funktioniert :)

PS: hatte meine alte cookie.php in logon.php unbeannt, diese war der störenfried *fg*, ein korrupter binärdateiheader crasht php !



Neuer Fehler, in der URL wird ja die SID angefügt. in dem fall:

'admin_main.php'.SID.

Log ich mich ein, dann erhalte ich eine URL => admin_main.php?SESSIONIDhe232132312132 (ähnlich), nun sieht der URL String manchmal so aus => admin_main.php? und SESSIONID... fehlt o_O ...

Wie kann das sein ? der Login und die Session funktioniert, wird aber in der URL nicht dargestellt :(, ist dies ein Firefox fehler (zulange Session ID ?)

die URL sieht nun

admin_main.php?PHPSESSID=a489b24a9b816a7c165f02cc31a1783f

sondern

admin_main.php?

Die Session funktioniert aber :/
 
Zuletzt bearbeitet:
FunkyPunk1985 schrieb:
1. <?php & ?> php hat bei mir noch nie ärger gemacht :)
beendet lediglich den php pharser und ist denke sinnvoll^^ so hab ichs jedenfalls gelernt.
Zum Vergrößern anklicken....
das Dateiende beendet den PHP Parser aber so oder so, und hinter einen ?> koennen sich gerne nochmal whitespaces verstecken, was oftmals zu headers sent problemen fuehrt.

Was meinst du mit Binaerheader? Ein BOM?

Die Session wird nur an der URL angehaengt wenn PHP kein Cookie setzen kann.
 
Also die php.datei war korrupt, datenfehler im Binärheaderbereich -.-


Zurück zu Session ! Ok ich habe folgendes festgestellt mit Firefox 3.5 und IE8.0.

Wenn er einen Cookie anlegt, dann benötige ich die SID nicht in der URL, doch erlegt nicht immer einen Cookie an :)

Lösung:

Ich setze an alle Links im Adminmenü noch die .SID. dran, dann sollte es passen.

Mich wundert es nur, manchmal setz er Cookies & man sieht keine SID in der URL, manchmal nutzt er dann aber die SID und meine weiteren Seiten funzen natürlich nicht (bis ich die URL um die SID erweitert habe).

Komisch oder ? Wieso gehen manchmal Cookies, manchmal nicht
 
sodala -.-

also da meine seite lediglich eine dynamische seite in form einer news seite hatte, habe ich diese nun erstmal wieder übernommen in die verwaltung.

lauffähig aber noch nicht weiter formatiert^^

nun wollte ich per administration neue seiten anlegen =>

seiten werden per fckeditor erstellt
seiten werden in mysql tabelle abgepseichert
seiten erhalten eine auto inc id

die links rufen anhand der id dann die jeweilige tabellen zeile auf
die mysql tabelle erhält ein feld =>sortid und gibt die urls im menü sortiert aus

-.- was ich als problem sehe dann, die verwaltung und übersicht über die sortier ids ;) aber erstmal fange ich jetzt mit den seiten an ^^
 
um mir das so einfach zu möglich zu machen würde ich dafür ein fertige Bibliothek verwenden. Zend_Db z.b.
 
danke für den tipp.

nur ich bin jemand der sehr gerne eigenständig werkelt.

fckeditor war da schon einkompromiss => einfach sehr anwenderfreundlich und er verändert nichts an der struktur.

daher möchte ich das möglichst selbst und ohne zusätzliche bibliotheken bzw tools lösen.

ich gehe davon aus, dass meine idee machbar ist und auch nicht unbedingt schlecht.

ich arbeite schließlich nicht an einem forum, lediglich an einer seite, die ein backend zur newserstellung, neue siten & userverwaltung haben soll.

am ende soll es als admin möglich sein, neue benutzer zu erstellen, diesen dann entsprechende rechte (z.b. news, neue site, userverwaltung) zu setzen.
da dachte ich dann an eine entsprechende zusatzabfrage ;) bzw einfach ifbedindung am kopf der jeweiligen seiten und dem backendindex :) glaube das kann ich schaffen (viel arbeit ) :d
 
ich habe jetzt mal eine frage (nehme an ich blamier mich total).

ich habe ein formular.dort sind vorgaben drinne für newskategorien

situation => poste news, wähle kategorie aus => super

situation => poste news, kategorie noch nicht da, erstelle kategorie in der kategorie verwaltung=> super

am besten wäre es,für die sortierung, wenn ich das ganze in die mysqldb eintrage und eine seperate kategorie verwaltung mache.
das ganze natürlich, damit der anwender news nach kategorien gefiltert ausgeben kann. dann erstelle ich eine tabelle mit den den jeweiligen werten und diese wird dann bis eof ausgegeben.

kleines beispiel:
<select name="Kategorie" id="Kategorie">
<option value="Leonard Peltier">Leonard Peltier</option>
<option value="Abu Jamal">Abu Jamal</option>
<option value="Sonstiges">sonstiges</option>

</select>
Zum Vergrößern anklicken....
ist dies als formular überhaupt sinnvoll?
gibt es eine möglichkeit, dass man direkt in der kategorieauswahl (dropdownmenü) eine neue kategorie erstellt, oder muss ich hier eine art link setzen, so dass er ein "_blank" öffnet und ich dort die kategorie anlege (die eingegeben daten per session übergebe), anschließend refresht er die newserstellungsseite & fügt die sessionvariablen wieder ein.

:) ich bin leider noch anfänger, doch möchte ich die administration möglichst sinnvoll haben. hier sollen später weitere online journalisten auch die möglichkeit haben drauf zu arbeiten, daher ist eine benutzerverwaltung auch nicht weit weg.


ps: mein hoster bietet eine mysql db von max 100mb an (1und1 leider). reicht dies überhaupt auf dauer ?

ich würde behaupten 100mb text für news, seiten => unendlich viel, aber ich befürchte, dass ich hier falsch liege.
ich würde behaupten, da kein forum vorhanden => werden die 100mb für mehrere 10000 news halten -.-

PS: wie sieht das bei uns mit dem interessenbereich webdesign allgemein aus, würde mich über diskussionspartner im bereich php/html sehr freuen... gerne auch per icq.
 
Zuletzt bearbeitet:
erste frage: warum erfindest du das Rad neu und setzt nicht auf einen von vielen erprobten CMS Systemen?

Zur Kategoriesache: Also zum einen wuerde ich nicht irgendwelche String als Index benutzen. Also als Value ins Dropdown einfach die ID der Kategorie, und dann auch diese zur News speichern. Bei der Ausgabe entsprechend einfach kurz auf die Kategorientable rueberjoinen.
Das "direkte neuanlegen von Kategorien" ist auch nicht so schwer. Am einfachsten wäre IMHO es per javascript prompt() eine Eingabe zu öffnen, den Inhalt davon dem Dropdown als neuen Eintrag anzuhängen und dann beim speichern auf PHP Seite schauen ob der ausgewählte Wert noch keine ID und dann speichern.
 
@viel erprobten cms :)

ich hatte vor guten 4-5jahren bereits mal ein phpkit am start,dass mit einem kollegen modifiziert, eigenes design template erstellt uvm.
ich hatte auch vor 2 jahren joomla am laufen und mal testweise eingerichtet.

die quintessenz, es macht kaum spaß in der endwicklung auf andere auszuruhen. so nimmt man sich doch zuviel.
es sieht nicht gut aus, da es bei jedem schehmatisch gleich aussieht.

am ende möchte ich ein cms, dass komplett an die formulierten anforderungen angepasst ist.
was ich selbst erstellt habe & was funktioniert.
perfekten code erwarte ich hierbei nicht, sehe es jedoch als weiterbildung & exklusivität.

PS: ich möchte nicht generell behaupten, auf alterbewährtes zu verzichten ist falsch, doch ist es in einigen punkten oft sinnvoller ;) sich nicht drauf auszuruhen.


@formular


tabelle für navigation => Feld 1='ID' (unique, auto increment), Feld2='Kategorieanzeigename'.

die felder erhalten dann nur einen kategorienamen, die id wird automatisch generiert, ein join befehl sehe ich hier als unnötig, da ich ja dies nur einmal verwende (oder liege ich falsch ? )
die felder erhalten dann als id im dropdownmenü ihre autoid, als anzeigenamen ihren entsprechenden wert.

grüße

Johnny :)
 
Aber bitte verschone das Internet mit noch einem CMS voller Sicherheitsproblemen. Die Anpassung eines vorhanden Systems an seine Ansprüche ist meistens einfacher als eine Neuentwicklung.
 
heinzelman schrieb:
Aber bitte verschone das Internet mit noch einem CMS voller Sicherheitsproblemen. Die Anpassung eines vorhanden Systems an seine Ansprüche ist meistens einfacher als eine Neuentwicklung.
Zum Vergrößern anklicken....

naja :) ich bin mir nicht sicher, da ich nicht viel in der netzwerksicherheit tätig bin.

nur würde ich rational folgendes anmerken, sicherheitslücken in großen cms werden schnell bekannt :)
um diese zu schließen ist immer noch ein update notwendig, von alleine passiert da nix.
gerade für hacker sind solche seiten interessant, da die lücken bekannt und weit verbreitet sind.somit also sehr leicht angreifbar, wenn man weiß, wo die lücken sind.
solche lücken lassen sich also schehmatisch und im großen stiel automatisch assimilieren.

desweiteren erstelle ich hier nur ein einfaches cms, ich habe garnicht die ambitionen mich mit den großen zu messen, will ich auch garnicht.
und gerade im punkt sicherheit kann ich das definitiv nicht... nur hierzu bitte obiges praktisch beachten, denn eine customwebsite ist wohl generell erst einmal unatraktiv für hacker und erst einmal weniger gefährdet als ein fertig bausatz.

wobei ich annehme, dass allgemeine phpsicherheitslücken auch schehmatisch nutzbar sind.

PS: ich wäre aber sehr froh drum, wenn ich später mit jemanden noch mal die logins, parameterübergaben uvm. durch gehen kann um das system zu verbessern oder mich auf schwere sicherheitslücken hinweisen.

denn man sollte auch ein "ausreichend" sicheres einfaches system selbst bewerkstelligen... und gerade pakete wie joomla sind einfach nur widerlich überladen -.-

ps: außerdem arbeite ich sehr gerne mit php, die skriptsprache hat mir im gegensatz zu pseudoprogrammierung (ms visualbasic), programmiersprachen ( c &java) doch viel mehr spaß gemacht;)
 
Zuletzt bearbeitet:
FunkyPunk1985 schrieb:
wobei ich annehme, dass allgemeine phpsicherheitslücken auch schehmatisch nutzbar sind.
Zum Vergrößern anklicken....
Das Schema daran ist, das im PHP Bereich jeder das Rad neu erfinden will und kaum einer ordentlich seinen Input escaped bevor es in der Datenbank landet.

Wie ich oben schon sagte, benutz fuer deine Queries Zend_Db oder zumindest PDO mit prepared statements das hilft schon gegen die ärgsten Luecken.
 
Kasn schrieb:
Das Schema daran ist, das im PHP Bereich jeder das Rad neu erfinden will und kaum einer ordentlich seinen Input escaped bevor es in der Datenbank landet.

Wie ich oben schon sagte, benutz fuer deine Queries Zend_Db oder zumindest PDO mit prepared statements das hilft schon gegen die ärgsten Luecken.
Zum Vergrößern anklicken....

das heißt also, sql queries sind erst einmal unsicher ?

habe ja eine configdatei (config.php), auf dieser hat nur der besitzer alle rechte, ansonsten ist alles verweigert. in dieser sind die mysqldaten hinterlegt (user,pw, dbname).
soweit so gut, die daten an sich liegen ja geschützt.

verstehe ich das richtig, das lese & schreibanfragen an mysql durch php generell massiv angreifbar sind und man dazu die obige bibliothek nutzen soll ?

ich bin wirklich noch anfänger in dem bereich, ärger mich normalerweise mit servern und deren leiden/einrichtung/planung *fg*
 
nein, queries sind per se in allen sprachen gleich sicher/unsicher. Der normale PHP Frickler wird halt eine Abfrage eher so schreiben:
PHP: 
$result = mysql_query("select * from user where id = " . $_GET['id]);
der userinput ungefiltert und ungeprueft direkt in die query. Damit ist natuerlich sql injections tuer und tor geoeffnet.
Die meisten Bilbiotheken bieten da zumindest rudimentaeren Schutz.

PHP: 
$sql = 'select * from user where id = ?';

$result = $db->fetchAll($sql, $_GET['id']);
das Zend_DB kuemmert sich in dem Fall automatisch um Quoting und Escaping der Eingabe.
 
Zuletzt bearbeitet:
Kasn schrieb:
nein, queries sind per se in allen sprachen gleich sicher/unsicher. Der normale PHP Frickler wird halt eine Abfrage eher so schreiben:
PHP: 
$result = mysql_query("select * from user where id = " . $_GET['id]);
der userinput ungefiltert und ungeprueft direkt in die query. Damit ist natuerlich sql injections tuer und tor geoeffnet.
Die meisten Bilbiotheken bieten da zumindest rudimentaeren Schutz.

PHP: 
$sql = 'select * from user where id = ?';

$result = $db->fetchAll($sql, $_GET['id']);
das Zend_DB kuemmert sich in dem Fall automatisch um Quoting und Escaping der Eingabe.
Zum Vergrößern anklicken....

danke für den hinweis ! genau wie oben verfahre ich etwa.
die einbindung der bilbliothek sieht ja "ersteinmal" nicht so kompliziert aus.
ist ja nur eine geringfügige erweiterung des sqlqueries und verständlich
fallen da zusätzlich noch erhebliche arbeiten an ?( ich gehe davon aus, dass die implementierung der bibliothek nicht viel mehr als ein include und paar anpassungen sind)?.

wollte eigentlich die erste version in ca. 2mon (+-100h aufwand) fertig kriegen (was ja nicht weit weg klingt). nur da ich nen 10h tag habe und nebenbei noch sport & freunde habe -.- ist das alles ein zeit problem.

aber es bringt ja auch nix, am ende dann ein "schweizer käse" an sicherheitslöschern zu haben.

ps: die bibliothek arbeitet hier quasi als handler, überpüft die eingabe auf mögliche syntaxe, welche zu manipulation verwendetet werden können und blockiert diese ? (nehme an hier kann man die bibliothek auch noch entsprechend einstellen, ob gefährliche eingaben entfernt werden, informationen verschickt werden uvm.
 
Zuletzt bearbeitet:
ok ... dann muss ich hier auch erstmal wieder aufschließen.
das ganze sieht aber schon ein wenig umfangreich aus ;) von der installation

es macht kein sinn jetzt fleißig weiter zu machen und später wieder alles nach zu arbeiten. da wird schon genügend auf mich zu kommen :).

das heißt, wenn ich das über diese bibliothek weiter reiche ist erstmal der datenbank zugriff "ausreichend" gesichert.
die authentifizierung via session hat bestimmt ebenfalls x schlupflöscher -.- man oh man ;)

seit 7:00auf achse und nur nebenbei geschaut -.- hoffe mittwoch komm ich zu migration der bibliothek und der ersten anbindung. für heute => fertig *g*
 
so (danke @kasn) die sql querrys escaped und ich arbeite weiter dran, leider geht alles sehr lahm und nur am wochenende vorran...

nun suche ich einen zuverlässigen webhoster:

umfang:
+5 mysql dbs
1-3gb webspace
3-5 domains
mysql und php 5.x
safemode:on (geht aber auch off)
traffic: 20gb + (danach mit drosselung)

schön wäre es per php.ini auch settings einstellen zu können (z.b. safemode usw). netroom.de wäre zurzeit mein favorit:)

grüße

johnny
 
Zuletzt bearbeitet:
vielleicht relevant fuer Leute mit noch mit der mysql extension arbeiten.

http://de3.php.net/manual/de/function.mysql-insert-id.php

mysql_insert_id() konvertiert den Typ der Rückgabe der nativen MySQL C API Funktion mysql_insert_id() in den Typ long (als int in PHP bezeichnet). Falls Ihre AUTO_INCREMENT Spalte vom Typ BIGINT ist, ist der Wert den mysql_insert_id() liefert, nicht korrekt. Verwenden Sie in diesem Fall stattdessen die MySQL interne SQL Funktion LAST_INSERT_ID() in einer SQL-Abfrage.
Zum Vergrößern anklicken....

auf den Fehler sind wir grad in einem recht alten System beim Kunden gestossen.

Am besten auf die neue mysqli (i fuer improved) umsteigen.
 
sodala werde bei netroom meine hp hosten.
ist ein wirklich guter laden (1e hp lief da 1jahr ohne probs) und der support soll sehr gut sein.

-klein aber fein, nur ein kleines unternehmen
-gute preise
-ich empfinde ökologisches engagement und deren spenden als sehr positiven fingerzeig :) bei der konkurrenz hatte ich dazu nichts gefunden.

ps: das netz sagt auch nix negatives, lobt den support und deren zuverlässigkeit.

zu guter letzt ...

i got my macbook unibody 13,3 ! " rockn & roll"
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh