ilch Forum » Allgemein » HTML, PHP, SQL,... » Alter version sicherer machen

Geschlossen
  1. #1
    User Pic
    SLJ Hall Of Fame
    Registriert seit
    18.05.2004
    Beiträge
    15.492
    Beitragswertungen
    3 Beitragspunkte
    Da ich bei der neuen 1.1 nicht so den duchblick habe, frage ich mal hier.

    Was müste ich alles tun um die alten 1.02, 1.03, 1.0.4 und 1.0.5 sicher zu machen. Langt es wenn ich alles aus der datei escape.php einbinden würde? Also jede abfrage ein escape und später wieder unescape und auch den user name absichern usw. oder gibs noch mehr sicherheits relevante dinge zu tun ? Datei namen in denen was wichtiges passiert langen mir.

    P.s. Ein update auf 1.1 ist keine alternative, da könnte ich gleich an ilch 3.0 schreiben lächeln

    mfg
    SLJ


    verwendete ilchClan Version: 1.0.5
    www.zocker-eppingen.de
    Ilch 1.0.4 PHP 7.0 und PDO Fähig na klar lächeln
    0 Mitglieder finden den Beitrag gut.
  2. #2
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.253
    Beitragswertungen
    366 Beitragspunkte
    Ja alle Daten die in die Datenbank wandern müssen escaped werden, unescapen ist nicht notwendig, das braucht man eigentlich nur, wenn man escapte Daten wieder ausgeben will, ohne sie in die Datenbank zu schreiben und Dateiuploads musst du überprüfen, so dass keine php Dateien hochgeladen werden können.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  3. #3
    User Pic
    SLJ Hall Of Fame
    Registriert seit
    18.05.2004
    Beiträge
    15.492
    Beitragswertungen
    3 Beitragspunkte
    Ok soweit haeb ich dann alles, nur was macht diese funktion "escape_for_fields" ? Irgendwie erschließt sich mir der sinn nicht so wirklich. Genau so wie bei der escape_email_to_show die wird nur im gbook genutzt,...



    mfg
    SLJ


    Zuletzt modifiziert von SLJ am 17.11.2009 - 18:46:00
    www.zocker-eppingen.de
    Ilch 1.0.4 PHP 7.0 und PDO Fähig na klar lächeln
    0 Mitglieder finden den Beitrag gut.
  4. #4
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.253
    Beitragswertungen
    366 Beitragspunkte
    ecape_for_fields ruft zur Zeit nur htmlentities auf und sorgt damit, dass kein ungewollter HTML Code irgendwo auf der Seite angezeigt wird, den ein User in einer Eingabe gemacht haben könnte, braucht man nur dann, wenn man kein BBCode verwendet, ansonsten sollte man das im Grunde überall verwenden, wo vom User eingegebene Daten ausgegeben werden.

    Mhh mit escape_email_to_show kann ich auch nicht wirklich was anfangen, ist sicher noch ein Relikt, was mal "verschlüsselte" Emailadressen anzeigen sollte, allerdings werden diese ja normal in der Datenbank abgelegt.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  5. #5
    User Pic
    SLJ Hall Of Fame
    Registriert seit
    18.05.2004
    Beiträge
    15.492
    Beitragswertungen
    3 Beitragspunkte
    Ok danke ich glaube ich habe alles,... muss nur noch für die Downloads ne gescheide uplaod funktion schreiben so das man net jedes formular einzeln anlegen muss.

    mfg
    SLJ
    www.zocker-eppingen.de
    Ilch 1.0.4 PHP 7.0 und PDO Fähig na klar lächeln
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu HTML, PHP, SQL,...

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten