Drucken

Bitte loggen sie sich ein oder registrieren sie sich.
1 Stunde 1 Tag 1 Woche 1 Monat Immer
Einloggen mit Benutzername, Passwort und Sitzungslänge

[textfrosch]

Stell ich mal hier so rein - mit dem wunsch, mal ein paar Testregistrierungen zu bekommen. (Kosten kein Geld)

Projekt noch im Aufbau - deswegen ist alles noch nicht so rund - ich bitte darum das nachzusehen.

Uns würde interessieren:

1. wie die verschiedenen Browser mit den Ländereinstellungen klarkommen und wie die darstellung im allgemeinen ist.

2. Ideen zur Sicherheitsrelevanz? Ist da was knackbar?

3. Im Useradminbereich hat das Textfeld "Adresse" eine andere Größe als bei IE und wir wissen nicht warum. Fällt jemand dazu was ein?

Auch würde uns brennend mal die Darstellung mit AOL interessieren:

1. ist die Startseite auch die Deutsche bei einem deutschen AOL Browser?

2. wenn jemand einen englischen oder französischen AOL Browwser hat - ist das dann auch in e oder fr?

3. wie sieht das ganze bei AOL im Useradminvereich aus?

Und:  könnte uns da mal jemand, der AOL benutzt ein Screenshot machen von dem User-adminbereich

Für alle Antworten und Beiträge wären wir dankbar

Schmauder

[nkeller]

Kann man davon ausgehen, dass du http://www.isp07.com meinst?

[textfrosch]

stimmt - sorry

Schmauder

[nkeller]

- Ob sicher oder nicht hängt stark von den verwendeten Zugangscodes ab. Für meinen Geschmack ist etwas zu viel offen, u.a. mysql für Remotehosts (nicht über ein paar gescheiterte Zugangsversuche von grade eben wundern :wink: )

- Im Anmeldeformular steht "Vorname" statt "E-Mail"!

- Die Anmelde-E-Mail wurde zwei Mal versendet und sieht noch etwas rudimentär aus.

- MySQL Fehler, wenn man den Aktivierungslink zum zweiten Mal anklickt.

- Wo hat das Textfeld eine andere Grösse als im IE? size="xx" ist grundsätzlich nicht sicher, was Grösse betrifft, es würde mich aber wundern, wenn sich das Textfeld einem style="width: 100px;" wiedersetzen würde.

- Wirkt alles noch sehr rudimentär, ich hoffe mal wegen Test-Phase. Was die Browserfunktionalität angeht, ist mir im Apple Safari jetzt nicht aufgefallen, was nicht ginge.

- Homepage des Nutzers: 2 PHP Fehler mit einem Bild auf der Homepage.

- Kontaktfeld nicht formatiert.

Ich will hier keinen Verriss abliefern, aber da habt ihr noch zu arbeiten  :oops:

[nkeller]

Man kann alle (!) Admin-Seiten einsehen, wenn man der URL, wie z.B.

http://www.isp07.com/admin/index.php?modul=menu

ein &admin=yes mitgibt...  :roll:

Beispiel:

http://www.isp07.com/admin/index.php?modul=user&admin=yes

 :oops:  :oops:  :oops:

Schöne meine Mail-Addi da zulesen  :roll:

(Übrigens ein klassischer PHP-Fehler, sicherheitsrelevante Variablen nie mit einem GET oder POST füllen! Ausserdem sehe ich grade im Admin-Interface, dass ihr den Usernamen nicht als Key hinterlegt habt. Der Benutzer bekommt zwar die Meldung, dass der Name schon existiert, aber offensichtlich wird trotzdem ein zweiter Datensatz mit gleichem Usernamen angelegt, das dürfte auch den ersten Benutzer KO setzen.)

[textfrosch]

Dafür:

"- Die Anmelde-E-Mail wurde zwei Mal versendet und sieht noch etwas rudimentär aus.
- MySQL Fehler, wenn man den Aktivierungslink zum zweiten Mal anklickt."

Ein Danke-Schön

Das waren gute Tips - Texte, Formatierungen und so mal bitte ignorieren - soweit sind wir nun doch noch nicht - kommt noch.

Zur Zeit gehts nur um die reine Technik (php/MySql/Server/Serversicherheit).

Was mich noch interessiert, wäre:

Ich habe gelesen, dass man Datenbankbefehle über Formulare an den Server schicken kann, die dann auch ausgeführt werden - stimmt das?

Wenn ja, wie kann man das verhindern?

Besten Dank schon mal für alle Mühen

Schmauder

[nkeller]

Grundsätzlich sollte man immer aufpassen, wenn man Eingaben von Formularen entgegennimmt. Im Internet gibt es dazu schon genügend Beiträge, z.B.

http://www.devshed.com/c/a/PHP/PHP-Security-Mistakes/

http://www.onlamp.com/pub/a/php/2003/07/31/php_foundations.html

http://www.developer.com/lang/article.php/918141

Ich habe auch mal was zum Mail versenden über Webformulare geschrieben, ich glaube das trifft auch auf euer Kontakt-Formular zu:

http://www.nkeller.de/linux/index.htm#1

[textfrosch]

Vielen Dank für diese sehr weitreichende Information -

doch mal einen "echten" Fachmann getroffen

Beste Grüße

Schmauder

[textfrosch]

Hat hier schon mal jemand Erfahrungen gemacht mit der serverseitigen Imagesoftware "Imagemagick"?

Wir möchten sie nutzen, um Userbilder, nach dem PHP Sie verkleinert hat zu schärfen, ähnlich dem PS-Filter >scharfzeichnen.

Schmauder

[textfrosch]

Man kann alle (!) Admin-Seiten einsehen, wenn man der URL, wie z.B.

http://www.isp07.com/admin/index.php?modul=menu

ein &admin=yes mitgibt...  :roll:

Beispiel:

http://www.isp07.com/admin/index.php?modul=user&admin=yes

 :oops:  :oops:  :oops:

sehr gut - und Danke - genau so etwas suchen wir

Schmauder

[textfrosch]

@ nkeller:

den Burschen hier kennen wir auch schon: mhkoch321@aol.com

Der hat über eine andere Seite bei uns versucht mails über ein Formular von uns zu verschicken - hat aber nicht geklappt.

Interessant war, das der das fast 200 x hintereinander versucht hat.

schmauder

[textfrosch]

- Homepage des Nutzers: 2 PHP Fehler mit einem Bild auf der Homepage.

1 Stunde gesucht - Ergebniss: ein Komma vergessen

Schmauder