Archief - Portfolio : Stef.deadend.be

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Y

Yngwie

Legacy Member
de laatste dagen nog aan kunne voortdoen, ben ni echt super in designen ofzo, hou veel meer van het codewerk, is daarom ook volledig xhtml valid.
gebruik gemaakt van xhtml, css, php en mysql.

qua sites sta er nog niveel op aangezien ik er nog ni meer heb, maar ge moet met iets beginne niwaar.

de link : http://stef.deadend.be
Z

Zero Grav

Legacy Member
Er zit te weinig werk in de omliggende layout vind'k persoonlijk. Waarmee ik dan bijvoorbeeld doel op de header.

(En voor al die pipo's die hier de laatste tijd voorbijkomen, leer eens het verschil tussen een header (paginahoofding) en een banner!)

En dat vind ik eigenlijk in het algemeen overal doorlopen, één kleur die nogal vaak terugkomt.. You shouldn't do that, meer afwisseling & versiering gebruiken ofzo. Maar hier is de uitdrukking " de pot verwijt de ketel dat ie zwart ziet" wel gepast. ;-)


edit: Ru`Orez: Kan je doen door mysql_num_rows of door een variabele te declareren als er een bericht wordt gevoden waarmee je zorgt dat het form toegankelijk wordt.
Y

Yngwie

Legacy Member
kga het oplossen door een query uit te voeren die het nieuwsbericht uit de db news haalt met als id de opgegeven id, en dan met $num_rows checken of deze groter of gelijk aan nul is

en voor het design: weet dat het niet men sterkste kant is, maar alle tips zijn welkom
D

DarkBone

Legacy Member
@Zero_Grav & Yngwie
Als je door middel van een LEFT JOIN het nieuwsbericht en de bijhorende comments ophaalt op basis van een news_id. Dan zal uw query gewoon geen resultaten teruggeven, en mag je ook geen nieuwsbericht/comments/formulier afbeelden.

Dan specifiek @Yngwie
ik heb u een PM gestuurd omtrent een security risk
een neveneffect daarvan is dit:
http://stef.deadend.be/index.php?page=index (oneindige lus!)
t

tikketim

Legacy Member
Yngwie zei:
kga het oplossen door een query uit te voeren die het nieuwsbericht uit de db news haalt met als id de opgegeven id, en dan met $num_rows checken of deze groter of gelijk aan nul is
Klik om te vergroten...
:offtopic: rofl bij deze zin ging ik toch wel even strijk toen ik mezelf voorstelde wat het zou geven moest iemand die er niets van kende dit lezen :D
Y

Yngwie

Legacy Member
bij deze mijn verontschuldigingen dat de site even offline was, zoals darkbone al aangaf zat er dus een major security risk in de site.
Hier heb ik dan ook onmiddellijk werk van gemaakt en de site staat terug online nu.
o

orez

Legacy Member
DarkBone zei:
@Zero_Grav & Yngwie
Als je door middel van een LEFT JOIN het nieuwsbericht en de bijhorende comments ophaalt op basis van een news_id. Dan zal uw query gewoon geen resultaten teruggeven, en mag je ook geen nieuwsbericht/comments/formulier afbeelden.

Dan specifiek @Yngwie
ik heb u een PM gestuurd omtrent een security risk
een neveneffect daarvan is dit:
http://stef.deadend.be/index.php?page=index (oneindige lus!)
Klik om te vergroten...

welke security risk?? zou mss handig zijn als je het hier deelt, want kdenk eerlijk gezegd dat er wel nog velen zijn met dit probleem:)
D

DarkBone

Legacy Member
Security Risk was dat ge pagina's vanop andere servers kon includen om zo uw eigen code te 'injecteren'. Ik kon met andere woorden doen wat ik wou op zijn server :)

Is een vaak terugkomende fout die men maakt.
Y

Yngwie

Legacy Member
denk dat ik het nu wel volledig opgelost heb dus zal geen kwaad kunnen als ik het hier even op het forum smijt.

Ik heb één index.php pagina die via een $_GET['page'] variabele in de url de gewenste pagina include. Hier had ik (onwetend als ik was) geen controle op gezet dus men kon door simpel de url aan te passen naar een eigen zelfgeschreven phppagina die de bestanden in de directory en de source code weergeeft van de pagina waarin het geinclude wordt. men kon dus heel simpel mijn source code lezen en dus ook mijn inloggegevens voor mijn database enzo.

Ik heb dit dan opgelost door alvorens te includen eerst deze $_GET['page'] variabele te checken of deze voorkomt in de database (waar ik al men pagina's in een tabel heb toegevoegd) en als deze niet in de db voorkomt zal de pagina ook niet geinclude worden en kunnen er dus alleen maar pagina's die ik zelf in de database prop geinclude worden.
0

0n3Liner

Legacy Member
owjah, en die fout zit in al jullie sites op deadend, heb zo eens de hoofdsite kunnen includen enzo, heel leuk allemaal :p
ben het alleen vergeten te zeggen, dus bij deze :)
L

LunchBox

Legacy Member
DarkBone zei:
Security Risk was dat ge pagina's vanop andere servers kon includen om zo uw eigen code te 'injecteren'.
Klik om te vergroten...
is het niet gebruikelijk dat men deze "risk" aanpakt op webserver software niveau ipv andere methodes van werking toe te passen, of:

-werd het al opgelost maar zijn veel servers niet up-to-date?
-is de nieuwe methode van includen veel beter losstaand van de huidige onveiligheid?

en dan nog:
-hoe los je dit 'probleem' doorgaans op?
D

DarkBone

Legacy Member
Het 'probleem' (wat er eigenlijk geen is indien je je er maar van bewust bent) is dat het include statement in PHP standaard ook overweg kan met bestanden die op een andere server staan. En ik quote de eerste regels vanop http://www.php.net/include:

Als de "URL fopen wrappers" zijn ingeschakeld (in de default configuratie is dit het gevel), dan kun je een file ook include()n met een URL, in plaats van een lokale path naam. Zie Remote files en fopen() voor meer informatie hierover.
Klik om te vergroten...

Echter... veel mensen lezen de manual niet, of onvolledig, of veronderstellen dat ze wel voldoende weten wat een functie kan.

Het probleem kan dus opgelos worden door een setting te wijzigen, maar eigenlijk gaat het allemaal terug op een fundamenteel gegeven: never trust user input.

De oplossing werd al vaker op dit forum gegeven, bij een url die eindigt op bijvoorbeeld "?page=contact" mag je niet zomaar gaan includen door die variabele te nemen en er een extensie achter te kleven. Want dan kan ik dus naar een andere server verwijzen en mijn code laten uitvoeren.

Het veiligste is een restrectieve lijst aan te maken met toegelaten waarden + controleren of de pagina op de huidige server staat.
r

rbn-

Legacy Member
Ik ben mss de enige, maar de site verspringt soms van plaats als je op de links drukt (mss al gezegd, maar zag het niet staan) wat nogal storend is imo.
Y

Yngwie

Legacy Member
dat gebeurt telkens als er een scrollbar verschijnt of als deze terug verdwijnt. weet niet hoe ik dit het best kan oplossen.
r

rbn-

Legacy Member
Awel ik zou zeggen zoek het op want het stoort :p. Mss een cmd dat em altijd de scrollbar moet tonen?
o

orez

Legacy Member
rbn- zei:
Awel ik zou zeggen zoek het op want het stoort :p. Mss een cmd dat em altijd de scrollbar moet tonen?
Klik om te vergroten...

dan stoort het je... go back to IE .. is niet IE eigenschap van de andere browsers die enkel een scrollbar toont wanneer nodig..
r

rbn-

Legacy Member
Het lijkt mij nogal raar dat je dit niet zou kunnen instellen maar kom... er zijn zoveel sites die dit wel kunnen regelen :)
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan