Archiv verlassen und diese Seite im Standarddesign anzeigen : VMSR Betatest Bugreport
Habe das VMSR erhalten und nach anfänglichen Schaudern über die unmögliche Installationsdatei doch installiert. Laut Info soll ich Bugs hier posten...
System Linux XXXXXXXXXX 3.2.0-48-generic #74-Ubuntu SMP Thu Jun 6 19:43:26 UTC 2013 x86_64. Details im
Datenbankversion
5.5.28-nmm3-log
Datenbankzeichensatz
utf8_general_ci
PHP-Version
5.4.9-nmm1
Webserver
Apache
PHP-Interface für den Webserver
fpm-fcgi
Safe-Mode
Aus
Open-Basedir
Keine
Fehleranzeige
-1
Kurze Open-Tags
An
Datei-Uploads
An
Magic-Quotes
Aus
Register-Globals
Aus
Ausgabe zwischenspeichern
Aus
Sitzungsspeicherpfad
/tmp
Sitzungsautostart
0
XML
aktiviert
Zlib
aktiviert
Natives ZIP
aktiviert
Deaktivierte Funktionen
-
Mbstring
aktiviert
Iconv
verfügbar
Browsererkennung
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:21.0) Gecko/20100101 Firefox/21.0
Erster Aufruf nach der Installation wirft Fatal Error aus:
http://www.zimagez.com/miniature/bildschirmfoto-22062013-225136.php (http://www.zimagez.com/zimage/bildschirmfoto-22062013-225136.php)
__________________________________________________ _______________________
TBC
hab das mal hier hin verschoben, ist mir zu mühsam das immer weiterzuleiten...
zur info, aktuell haben 5 User das vmsr erhalten.
NeoGriever
23.06.2013, 04:01
Wie bereits erwähnt, lässt sich dieser Fehler mit folgender Änderung beheben.
Datei: /af/index.php
Zeile: 7
Danach einfügen: @require_once("../lib/timespan.lib.php");
OK, nächstes:
Maximale Buchungssumme 999.999.999,99 Schlüppies
Ich weiss wie man das ändert, DB sollte aber doch schon von der Installation an realtitätsnah konfiguriert sein.
EDIT:
Ups, 50 MRD wurden gebucht, in den Buchungslisten werden aber nur 999.999.999,99 Schlüppies angezeigt...
Außerdem fehlt ein Hinweis das ein "." (Punkt) statt "," (Komma) bei manuellen Buchungen für Nachkommaanteile verwendet werden muss (af > User berarbeiten)
NeoGriever
23.06.2013, 14:35
Das mit , und . wird im VMSR nicht mehr relevant sein. Es erkennt jede mögliche Eingabemethode, wenn ich es umgebaut habe. Bis dahin müsste man ja wissen, dass punkt anstelle von komma für nachkommastellen sein sollte.
Und: welche Änderung meinst du? Bitte auch hier posten :)
Das mit , und . wird im VMSR nicht mehr relevant sein. Es erkennt jede mögliche Eingabemethode, wenn ich es umgebaut habe. Bis dahin müsste man ja wissen, dass punkt anstelle von komma für nachkommastellen sein sollte.[...]
Du bist doch angetreten um diverse Mängel am VMS 1.2 zu verbessern und ein dahingehend verbessertes und moderner ausgestattetes VMSR zu entwickeln. Ich arbeite derzeit die mir im Gedächtnis gebliebenen "Mängel" ab um zu schauen wie weit fortgeschritten du mit der Arbeit bist. Neu hinzugekommene Gimmicks oder Geplantes bewerte und be-/verurteile ich nicht...
Und: welche Änderung meinst du? Bitte auch hier posten :)
In der Datenbank ist - zumindest in der Buchungstabelle - eine zu niedriges length definiert (9.2 statt 11.2)
EDIT:
kein Link zur Startseite :confused:
Die seltsame Countdownfunktion im af lässt sich in den Einstellungen nicht deaktivieren/ändern.
Gutschriften und Abzüge aus dem af tauchen nicht in der Bilanz auf.
NeoGriever
23.06.2013, 16:02
Du bist doch angetreten um diverse Mängel am VMS 1.2 zu verbessern ...
Korrekt
In der Datenbank ist - zumindest in der Buchungstabelle - eine zu niedriges length definiert (9.2 statt 11.2)
Wird behoben.
EDIT:
kein Link zur Startseite :confused:
Behoben
Die seltsame Countdownfunktion im af lässt sich in den Einstellungen nicht deaktivieren/ändern.
Wird ergänzt.
Diese "seltsame" Funktion ist eigentlich ein sehr cleveres Ding. Es sichert das Adminforce nochmal zusätzlich ab.
Gutschriften und Abzüge aus dem af tauchen nicht in der Bilanz auf.
Wird geprüft. Müsst ich erstmal guggn, welche Buchungen du z. b. meinst.
NeoGriever
23.06.2013, 16:04
Hast du ICQ, MSN oder Facebook?
Diese "seltsame" Funktion ist eigentlich ein sehr cleveres Ding. Es sichert das Adminforce nochmal zusätzlich ab.
Wenn es nach jeder Aktion den Countdown neu starten würde wäre es durchweg sinnvoll, in dieser Form aber nur begrenzt (sinnvoll) weil schnell ungeheuer nervig und rausgeschmissen.
Wird geprüft. Müsst ich erstmal guggn, welche Buchungen du z. b. meinst.
Ich meine die Gutschrift/ das Einbehalten von Losen in der userbearbeiten.php - schließlich werden Buchlose im System erzeugt bzw. Währungslose gelöscht.
ICQ kann ich mal grad anschmeissen:
384
419
152
Falls mehrere User chatten wollen hab ich auf irc.freenode.net mal ##vms registriert. @lokutos: #vms hab ich extra nicht genommen...
User ohne Messenger :p nehmen http://webchat.freenode.net/?channels=##vms
NeoGriever
23.06.2013, 18:37
Die Funktion ist extra so gemacht, dass es nicht nach jeder aktion auf 0 zurückgesetzt wird. Es soll einen hacker dazu zwingen, sich neu anmelden zu müssen. Wenn dieser ein "cookie geklaut" hat, dann hat er nur stark begrenzte aktionsmöglichkeiten. Wenn ich dazu noch eine ip-auto-logout-funktion mache, welche den admin-nutzer automatisch ausloggt, sowie dieser eine andere ip hat, kann der hacker mit einem cookie nix anfangen.
Hm. Das mit der userbearbeiten.php muss ich mir nochmal genauer anschauen.
DJschatz27
23.06.2013, 22:48
nabend
Das Sparbuch im Admin lässt sich nich einstellen also man kann eintragen aber es nicht speichern
nur wenn ich in die db gehe und ein sparbuch tag anlege dann kann man im admin was eintragen und abspeichern
Sparbücher lassen sich nicht als user anlegen bekomme diese fehlermeldung rausgefuDieses Sparbuch existiert nicht.Du hast momentan keine Sparbücher
weiß nicht obs ein bug oder so ist bitte mal schauen danke
DJschatz27
24.06.2013, 02:59
Bilanz Fehler habe ich gefunden
Den findet ihr im admin in der userbearbeiten.php
in der zeile 24 & 26 findet ihr das
if ($_POST['art'] == '+'){
$ausgabe = $_POST['buchungsmenge'];
}else{
$einnahme = $_POST['buchungsmenge'];
}
Einfach gegen dies tauschen und sie klappt
if ($_POST['art'] == '+'){
$einnahme = $_POST['buchungssumme'];
}else{
$ausgabe = $_POST['buchungssumme'];
}
Bin mir aber nicht sicher ob die Bilanz richtig arbeitet müßtet ihr mal testen
NeoGriever
24.06.2013, 10:33
Hm. Hab ich mich so verguggt? O_o
Edit: Tatsache. Habs geprüft. Wird im nächsten Setup korrigiert sein. :)
NeoGriever
24.06.2013, 12:19
Habe meinen Setup-Builder jetzt etwas optimiert. Dieser arbeitet jetzt schneller, effizienter und stabiler. Ich brauch den Setup-Builder nur 1 mal aufrufen und schon packt der mir die neuen Dateien zusammen.
Kleines Beispiel:
http://z54.img-up.net/setup-buile04a.gif
NeoGriever
24.06.2013, 13:31
Habe die Fehler in der Sparbuch-Funktion behoben. Diese funktionieren jetzt wieder korrekt. Außerdem habe ich die Einstellungen im Admin erneuert und noch einige kleine andere Fehler behoben.
Pn an mich um den Link des neuen Setup's zu erhalten. Ihr müsst ggf. das alte komplett deinstallieren um das neue installieren zu können. Es wurde viel gemacht. Auch die MySql-Daten solltet ihr vollständig entfernen. ;)
Ist zwar n bissl Fummelei, dass das oft gemacht werden muss später, aber es ist ne Dev-Version, welche zum Fehlerfinden gedacht ist :) Jeder, der hier aktiv Mithilft kriegt dann auch irgendwas. Weiß zwar noch nicht was. Aber da wird sich schon was finden ;)
Heut nur mal kurz:
Bilanz funzt noch immer nicht richtig. Schreibe ich dem User Lose gut, geht die Bilanz ins Minus - korrekt.
Buche ich ihm hingegen Lose ab geht die Bilanz auch ins Minus - falsch.
Buchungsliste mag keine Buchungen über 999.999.999,99
DB -> PREFIX_buchung -> buchungsmenge -> double(12,2)
Ich hatte oben geschrieben "11,2", müsste aber mindestens "12,2" für MRD-Beträge sein. Hab jetzt 13,2, meine User spielen nicht mit Sand...
NeoGriever
25.06.2013, 00:15
Jop. Wird geändert :)
Die Bilanz-Sache wird noch geprüft von mir.
NeoGriever
25.06.2013, 17:03
Bilanz-System korrigiert. Buchgungssummen-Tabellenspalte auf 14,2 erhöht. Somit sind locker mehrere hundert mrd möglich. Wobei ich bezweifeln werde, dass da jemand auf 1.000.000.000.000 kommt XD
Sind erstaunlicherweise wesentlich weniger Fehler als ich erwartet hatte.
Wobei ich bezweifeln werde, dass da jemand auf 1.000.000.000.000 kommt XD
Könnt ich mir schon gut vorstellen, dass in einem Jahr (was Klamm betrifft) solche Summen zustandekommen. Bei Klammgeil würde es das heute sicher schon geben, als Anteilsmenge. Jedoch ist das VMS(R) ja kein reines Klammscript, eigene Währungen können da ja schon mal in den Billionenbereich kommen. :-)
NeoGriever
25.06.2013, 20:34
999.999.999.999.999,99 ist das limit aktuell. ich denke mal, das wird reichen. Wer mehr braucht, dem werd ich wohl mal ne option einbauen, um diese "schwelle" nochmal höher zu schrauben.
Funktionieren vorhandene Slots/Interfaces/Addons denn noch damit?
Wird php-mysqli verwendet? Ab php 5.5 ist die mysql Erweiterung "deprecated" und das löst dann ja immer so komische Panikattacken bei Einigen aus ;-)
Nein, es wird weiterhin via MySQL zugegriffen.
Slots/Interfaces/Addons sollten noch nicht geprüft werden, hab auch noch nichts installiert.
Aber warum sagt mir den keiner das PHP 5.5 seit dem 20. current stable ist?
NeoGriever
27.06.2013, 01:11
1. das mysql- bzw. mysqli-problem werde ich mit einer überschreibung der mysql-befehle umgehen. es bleibt dann bei mysql_query, wird aber mysqli nutzen.
2. slots und so könnt ihr gerne testen. jedoch kann ich noch keine 100%ige kompatibilität garantieren.
Wenns slots/interfaces/addons gibt, wo "zieldateien" fehlen oder nicht mehr auffindbar sind oder iwas anders, sagt bescheid. da kann ich daraus noch weitere brücken-anschluss-dateien erstellen.
NeoGriever
27.06.2013, 02:03
Wir haben einen neuen Betatest-Platz frei. Jemand ist aufgrund mangelnder Zeit zum Testen abgesprungen. Daher suche ich jemanden, der jetzt wieder aktiv nach Fehlern/Bugs/Problemen mitsuchen kann. Vorzugsweise jemand, der das system mal an die Grenzen bringt und ggf. auch Angriffslücken aufspüren könnte.
rene_1992
27.06.2013, 02:35
In der Datenbank muss die maximal Einzahlungsumme angepasst werden.
SQL -> vms_seitenkonfig -> einzahlgrenze -> Bigint 15,2
Genauso wie der Umsatz vom Refsystem
SQL -> vms_werberdaten -> umsatz -> Bigint 15,2
reset -> Bigint 15,2
gesamt -> Bigint 15,2
Wie immer unter der Woche wieder nur kurz:
Bilanz funzt noch immer nicht richtig. Schreibe ich dem User Lose gut, geht die Bilanz ins Minus - korrekt.
Buche ich ihm hingegen Lose ab geht die Bilanz auch ins Minus - falsch.
[...]
Kein Bilanzfehler. In af/userbearbeiten.php Zeile 23ff korrigieren
if ($_POST['buchungsart'] == '+'){
$ausgabe = $_POST['buchungssumme'];
}else{
$einnahme = $_POST['buchungssumme'];
}
bilanz($einnahme,$ausgabe);
NeoGriever
28.06.2013, 09:13
Wurde bereits korrigiert.
In der nächsten Version wirds schon drin sein. Benötigt dann wieder ne komplette Neuinstallation.
Außerdem wird das Sparbuch entfernt. Da es aus unerfindlichen Gründen buggy is. ._.
DJschatz27
28.06.2013, 19:00
lach beim sparbuch geht ja nur eine funktion nicht ist aber schade drum
NeoGriever
02.07.2013, 15:46
Sry. Konnte bisher nicht wirklich viel machen, da Umzug im Gange war.
Welche Funktion denn genau? Ich find den Fehler nämlich iwie nich. Ggf. liegts an der eigenen Blindheit XD
DJschatz27
02.07.2013, 16:32
also wenn man im sparbuch z.b. 1 million einzahlt steht da ja einmal 1 million angelegt und auszahlungssumme sind auch 1 million da fehlen die zinsen die sollten ja drauf gerechnet werden richtig?
NeoGriever
02.07.2013, 21:01
Eigentlich schon. Jedoch habe ich an dieser Formel nicht rumgespielt. Deswegen bin ich da etwas konfused.
DJschatz27
03.07.2013, 03:10
oki ist genauso wie das sekunden teil das klappt ja garnicht leider da man nuur den text lesen kann sonst nichts
NeoGriever
03.07.2013, 05:27
sekunden teil? meinst das sekundensparbuch? wird so oder so entfernt, da ich es eig. selbst integrieren wollte, was mir aber zu hoch ist.
DJschatz27
03.07.2013, 15:14
ja das mein ich fib´nd ich ein feines teil oder würde sicvh einer dem teil annehmen das es lauf fähig wird?
ist vieleicht noch ein platz frei für den beta test ? hätte nun wieder ein bisschen zeit :)
NeoGriever
06.07.2013, 19:04
Leider nein.
Jep, ich häng eh grad durch. Mehr als UI-Tests sind nicht drin derzeit...
NeoGriever
15.07.2013, 11:59
Nun hab ich das Sparbuch zum Laufen gekriegt. Die Zinsen werden korrekt berechnet.
Was wurde geändert:
- Das Sparbuch wurde repariert
- Beim Login kann man sich mit dem Nicknamen ODER mit der Klamm-ID einloggen. Passwort wird stets abgeglichen
Was wohl später noch kommt:
- Neue Hash-Funktion zum Speichern der Passwörter in der Datenbank zum Schutz vor Hackern.
Nun haben wir einen Release-Kandidat. Wenn der Chef sein OK gibt, geht dieser dann ENDLICH offiziell raus!
DJschatz27
15.07.2013, 13:34
cool neo dachte ich doch das du den fehler findest
gibts auch noch eine neue datei zum schauen ob alles oki ist?
Juhuu! Da bin ich mal gespannt was der Chef sagt! ;) ..
Danke NeoGriever!
NeoGriever
17.07.2013, 15:44
Hm. Der Chef schweigt. Bin etwas ungeduldig aufs Release.
Hm. Der Chef schweigt. Bin etwas ungeduldig aufs Release.
Und? Weist du was neues zum Release?
NeoGriever
21.07.2013, 18:50
Nein. Leider immer noch nix neues. Bin drauf und dran, das Release selbst durchzuführen.
Er wird sich schon melden wenn er zeit hat und über sienen kopf entscheiden würde ich dir von abraten den ansonsten denke ich war diene arbeit komplet umsonst ;)
edit: also ich habe ihn angeschrieben und nicht mal eine halbe stunde später hatte ich eine antwort ;) Die antwort kannst du dir sicherlich denken :P
NeoGriever
21.07.2013, 21:20
Hm. Ich hab ihn auch angeschrieben. Aber ne Antwort hab ich noch nicht erhalten. oO
Hm. Ich hab ihn auch angeschrieben. Aber ne Antwort hab ich noch nicht erhalten. oO
er war nach meiner nachricht sogar hier kurz online :)
Wenn es die zeit zulässt werde ich mich melden,
vermutlich im laufe der Woche.
NeoGriever
22.07.2013, 01:21
Okay :) @Lokutos
NeoGriever
28.07.2013, 20:23
Ein kleines Update habe ich grade mal nebenbei eingebastelt:
- Kompletter Log jeder Aktion jedes Seitenbesuchers. Ob angemeldet oder nicht.
- - Speichert Zeit, URL, IP, User-ID (wenn vorhanden), POST, GET sowie SESSION-Daten
- - Wird im Administrationsbereich abschaltbar oder "einschränkbar" sein.
- - - Einschränkungsoptionen:
- - - - Nur zwischen Uhrzeit A und Uhrzeit B.
- - - - Nur bei eingeloggten Usern.
- - - - Nur bei nicht eingeloggten Usern.
- - - Abschaltung stoppt kompletten Logging-Prozess. "Verpasste" Ereignisse sind dann schlichtweg nicht geloggt.
- - Auflistung und Suche nach IP, User-ID oder teile der URL, welche angesteuert wurde.
Teilweise bin ich noch dran am Arbeiten. Aber es wird euch 100%ig gefallen. Besonders jedoch die Admins, welche mit Hackern häufig Probleme hatten.
Statusupdate fürs Release: Leider habe ich von Lokutos noch immer keine Info bekommen. Langsam wird das auch mir hier zu bunt.
Wer die aktuelle Version sehen und testen möchte, um zu schauen, ob sie auch 100%ig release-bereit is (vorschlaghammer-tests), der meldet sich bitte per PN bei mir.
Es mag sein das dies bereits 1 Woche her ist... ich arbeite akt. in der Woche ca 50h bin aktuell beruflich im Ausland, habe nicht nur dein VMSr als pendenz...
Da ich von deinem Script auch einen merklichen anstig im Support hier im forum erwarte werde ich bevor ich es release garantiert erst den kompletten code durchlesen.
Dies geht nunmal nicht in einer woche und ich werde mich da auch nicht stressen lassen. Denn den anschliessenden Aufwand habe ich...
Ich binn aktuell Zeitlich wie gesagt stark eingeschränkt und kann dadurch nicht genau sagen wann ich es releasen werde.
Ich bitte dich daher um ein bisschen Geduld.
User die sich an dich "Verärgert" wenden kannst du gerne an mich verweisen.
NeoGriever
06.08.2013, 18:23
So wie es ausschaut, ist nur noch das Captcha ein Problem. Ich würde ja auf ReCaptcha umsteigen, wenn es nicht Domain-Bezogen wäre. Stehe quasi kurz davor, das Captcha dort zu entfernen.
Nichts desto trotz scheint es so, als stünden wir kurz vorm Release. Freut euch alle schonmal drauf. Lokutos ist zuversichtlich was das Script interne angeht.
Aber nicht zu sehr drauf hocken, dass es morgen schon released werden würde. Es kann durchaus sein, dass Lokutos gern mal noch 2 Wochen verstreichen lässt.
Die Info soll nur dazu dienen, dass Lokutos reingeschaut hat und nur nen paar kleinere Problemchen aufgezeigt hat, welche aber schon (bis auf das Captcha) behoben wurden.
Weis man mittlerweile wann es released wird?
NeoGriever
13.08.2013, 19:17
Derzeit steht noch das Captcha-Problem im Raum. Wenn dies gelöst ist, dürfte der Release durchgeführt werden können. Und kommt natürlich auch drauf an, wie schnell Lokutos arbeitet und meinen RC geprüft hat.
BlueMar-Visions
14.08.2013, 21:27
Wird schon werden Jungs,das neue VMSone sollte auch im Februar 2013 rauskommen...:wink:
Also solltet ihr auch mindestens genauso geduldig sein auf das VMSR wie auf das neue VMSone...:wink:
Ich finde wer wirklich Webmaster sein will, sollte investieren und sich sein System programieren lassen,
denn das hier ist mit den Jahren lächerlich geworden...:wink:
Jeder verspricht keiner macht aber was,naja man lässt die User die man hat, seit Jahren an die Wand laufen,
ohne dran zu denken warum diese User das hier nutzen....
Meine Meinung ist, wenn ich gar keine Zeit habe sollte ich auch solch ein Forum nicht übernehmen,denn als Loseseitebesitzer kann ich auch nich so agieren!!!
Liebe Grüsse
NeoGriever
14.08.2013, 23:25
Deine Argumentation gegenüber dem VMSR ist unfair. Ich habe mit Hochdruck am VMSR gearbeitet und dränge Lokutos stets, das VMSR für's Release freizugeben.
Es dauert sicher nicht mehr lange, bis ich es publizieren darf. Bzw. bis Lokutos es in die Downloads einträgt.
Bedenke bitte auch, in welchem Zeitraum ich das VMSR umgesetzt habe. Bzw. das VMSone komplett umgeschrieben habe.
Wer Geld dafür hat, der kann sich was programmieren lassen. Wer keins hat, weicht auf kostenlose Varianten aus. Ganz simpel.
BlueMar-Visions
15.08.2013, 07:32
Du hast mich falsch verstanden,es ging nicht um das VMSR,denn deine Arbeit lobe ich ;)
Es geht einzigst und alleine um die Situation die hier herrsch seitens des Betreibers vom VMSone Forum...
Ich warte nur schon seit über nen Jahr und passiert ist nie was und das mein ich unabhängig von deiner Leistung die ich schätze...
Naja gut ich werd mich ab hier raushalten und nichts mehr sagen,wollte mich nur mal dazu äussern was ich sehr lange zurück gehalten habe...
Liebe Grüsse
...
denn das hier ist mit den Jahren lächerlich geworden...:wink:
Jeder verspricht keiner macht aber was,naja man lässt die User die man hat, seit Jahren an die Wand laufen,
ohne dran zu denken warum diese User das hier nutzen....
...
Also das VMS gibts jetzt seit wann? 2006 oder noch länger? Es ist kostenlos, einige setzen es ein und sind zufrieden, es gibt große und erfolgreiche Seiten die damit betrieben werden.
Was lächerlich ist, sind Leute, die meinen, hier irgendwelche Ansprüche stellen zu können oder meinen Druck machen zu müssen :wink:
Einfach mal in größeren Zeitabschnitten denken, sofern möglich :cool:
Achso, "jeder verspricht", ja ne is klar, und warum die User das nutzen? Weil es seit Jahren konstant geblieben ist, einfach anzupassen, viele Addons, Slots & Interfaces verfügbar sind und einem meistens schnell & kompetent im Forum geholfen wird. Achso, schon erwähnt das es kostenlos ist?
"Loseseitebesitzer" agieren meist wesentlich schlimmer, hier wurde noch nie dichtgemacht, nur weil der "Webbi" im "Krankenhaus liegt" oder ähnliches :p
Also das VMS gibts jetzt seit wann? 2006 oder noch länger? Es ist kostenlos, einige setzen es ein und sind zufrieden, es gibt große und erfolgreiche Seiten die damit betrieben werden.
Das VMS gibt es schon sehr sehr langeee, ich habe mich damals angemeldet zur Nebulus Zeiten (wie die zeit vergeht) wo es gerade an Gremlin & Swinxx verkauft wurde.
Das war die Zeit des Umbruches. Aber vor dem Vms gabs das Projet Seth, Projekt X soweit ich mich errinern kann, worauf das damalige vms basierte. Das Seth sah so ähnlich aus wie das hier: http://www.vms-tutorial.de/vmsfuncoins/ .
Ich werde Später soweit mir noch bekannt ist die vms geschichte veröffentlichen bzw das hier erweitern: http://www.vms-tutorial.de/wiki/VMS1
Dies wollte Nebulus tun, hat sich aber nicht mehr gemeldet bei mir leider...
Worauf ich hinnaus möchte, das vms bzw das grundscript gibt es soooo lange und es hat sich etabliert und jeder war damit zufrieden, ich habe gesehen wie seiten aufmachten, und auhc geschlossen wurden, wegen "krankheit" "hacks" "pleite" etc. dennoch hat es einen guten ruf
NeoGriever
15.08.2013, 20:40
http://images.cooltext.com/3285288.png
Es ist vollbracht!
Hier könnt ihr die Version 2.1, welche Lokutos soeben freigegeben hat, downloaden.
http://www.designerscripte.net/downloads.php?do=cat&id=28
Juhuuu! Danke Neogriever und danke an Lokutos fürs freigeben. Ich habe soeben VMR erfolgreich Installiert. Es geht sehr schnell und einfach, ohne Dateien anpassen zu müssen oder erstmal etwas in die Datenbank importieren zu müssen. Das VmsR ist innerhalb von einer Minute Installiert! Wirklich Top! Es läuft sehr schnell und flüssig und sieht super aus! Danke Neogriever für die Arbeit! Hat sich wirklich gelohnt zu warten!
/edit:
Designs lassen sich sehr schnell einbauen, dazu benötigt man nicht einmal große Kenntnisse!
Die VMSR.EasySetup.v2.1.php löscht sich leider nicht nach der installation.
Klar kann man jetzt sagen das liegt in der Obhut des Nutzers allerdings könnten das die User vorraussetzt und rechnen evtl nicht mit der Potenziellen Gefahr die dort dann noch rumlungert.
Finde die Voreinstellung VMSR als DB Präfix nicht so prikelnd das sorgt für inkompatibilität mit nahezu jedem Addon!
Sparbücher haben in einen Grundskript meiner Meinung nach auch nix zu suchen und wer wieviel auf dem Konto hat (Rechtes Menü) sollte wohl auch nur den Admin interessieren?!
Weiterhin habe ich bei der Startseite die Meldung:
Notice: Undefined index: content in C:\xampp\htdocs\VMS\lib\security_log.php on line 8
auf dem Bildschirm.
Offenbar hat der Opera ein Problem mit den Menüzuklappen:
http://www.vms1.de/thumbs/screenddd.png (http://www.vms1.de/?v=screenddd.png)
Gruß
p.s. mir ist noch etwas aufgefallen. Die Datenbankperformance hat ja dramatisch abgenommen. Das Impressum im eingeloggten Zustand hat sich von 3 auf 9 abfragen erhöht?
NeoGriever
16.08.2013, 10:32
Das Sparbuch kann man ziemlich schnell aus dem Script enfernen. Da es keine tiefe Integration beinhaltet. 3 Datenbank-Tabellen, 2 Links, 2 Dateien. Aber kann ich ja in einer späteren Version komplett rausschmeißen.
Das Guthaben der jeweiligen User wird grob gerundet dargestellt. Zur not kann man mit einer einfachen Änderung die Namen anonymisieren und die Verlinkungen verschwinden lassen. Oder eben den ganzen Block davon verschwinden lassen.
Der Fehler im Opera ist mir bisher nicht möglich gewesen, zu korrigieren. Wobei die Boxen ja mit jquery ein- und ausgeklappt werden. So wie ich es weiß, arbeitet jquery schon so crossbrowser-kompatibel, wie es nur möglich ist. Und bisher habe ich leider nicht herausgefunden, wie man das Problemchen beheben könnte. Ich arbeite aber weiter daran.
Damit Design und Funtion optimal auf den "User" abgestimmt sind, wurden teilweise die Datenbank-Requests aufgeteilt. Somit kann es durchaus kommen, wenn ein Eintrag in der Datenbank fehlt, dass ein Fehler auftaucht, dieser aber nicht zwangsläufig andere requests vorher beeinflusst.
Der Fehler in der security_log ist nur dann, wenn in der URL kein ?content=... angegeben wurde. Sehr leicht zu beheben:
In der entsprechenden Datei in Zeile 8 einfach ein @ vor $_GET["content"] schreiben.
if(@$_GET["content"] <> "/system/securitylog") {
Somit dürfte dieser Undefined Index Fehler ausgehebelt sein.
Und bevor jetzt jemand sagt "unsauber": Die Variante ist kürzer und funtioniet auch in PHP 5 problemlos auf sämtlichen PHP-Fähigen Servern. Es unterdrückt lediglich die Fehlermeldung, dass der Wert nicht existiert. Somit wird dieser als leerer Wert behandelt und die Sache ist erledigt.
Wegen dem Design werde ich nocheine ausführliche Anleitung schreiben, wie man ein eigenes Design ganz leicht in das VMSR einbindet. Da ist nämlich einiges anders gemacht als beim VMSone!
Wenn mans doch eh schon als zip Datei runterlädt, entpacken muss und via FTP die Datei hochladen, macht es iwie aber auch gar keinen Unterschied, wenn man mehrere Dateien in der Zip hätte und diese alle hochladen müsste...
Einen Installer kann man weiterhin dazulegen, aber es würde schonmal viel helfen, damit nicht alles mit kompletten Schreibrechten endet ....
Das ist dann auch schon das Problem beim Installieren,
mkdir($_SESSION["install_directory"] . $path,0777,true); bedeutet im worst case ja nur, dass jeder Benutzer einer shared hosting Umgebung das Verzeichnis lesen/schreiben kann. Da verzichte ich jedenfalls gerne auf einen 1-Klick-Installer, Webbis die sich nicht auskennen, laufen ins offene Messer ....
Überprüfung der PHP Version im Installer (gibt genug, die mit PHP4 noch unterwegs sind...), check ob allow_url_fopen = ON etc wären iwie auch nice2haves, und genau die Dinge, weswegen man ein Installscript überhaupt erst anbietet.
Dann sind schon ewig vorhandene Fehler einfach übernommen worden, bspw. topframe_forced.php ist die Reihenfolge von db_connect(); und dem include der lib/session.lib.php immer noch falsch.
Insgesamt erfüllt das meine Erwartungen voll und ganz, habs jetzt gar nicht weiter angeschaut, aber waren doch schon ein paar Dinge dabei, die zu meiner Erheiterung beigetragen haben ^^
NeoGriever
16.08.2013, 15:56
Bitte bedenke auch, dass ich das VMSR innerhalb kürzester Zeit ALLEINE überarbeitet habe. Das VMSone hat hingegen schon einige Jahre auf dem Buckel.
Das Setup werde ich dann auch einmal so machen, dass Verzeichnisse und Dateien per FTP hochgeladen werden können, die Eintragung der Daten in die DB sowie das konfigurieren des VMSR für den Erststart erfolgt dann weiterhin per Installer-Script.
Das Problem mit der topframe_forced.php wird dann auch behoben sein. Mit dieser habe ich mich noch nicht so sehr ausführlich befasst. Ggf. wird es dann eh eine Neue geben.
Bedenke bitte, dass ich auch eine menge Fehler, die vorher drin waren, ausgemerzt habe und diverse Sachen (Augenmerk auf das Design-System) verbessert/vereinfacht habe.
Wenn ich dir jetzt das VMSone 2 (VMS 1.2) vor die Nase lege, würdest du da innerhalb von 2 Wochen ALLES, aber auch ABSOLUT ALLES auf PHP5 umgerüstet haben, Fehler ausgemerzt und Probleme beim Umbauen korrigiert, neues Design draufgelegt, Designsystem umgeschrieben UND dazu noch einen Installer fertig kriegen?
Also bitte sei mal nicht so abwertend gegenüber meiner Arbeit. Dies ist extra ein Forenbeitrag, wo der Titel es schon sagt: "BUGREPORT". Wenn du Fehler findest, melde diese bitte so ausführlich, wie möglich, dass ich diese Fehler auch beheben kann.
ODER
Machs besser!
Edit: Ich habe soeben Lokutos die 2.2 vorgelegt, wo fast alle deine Beanstandungen deiner letzten Antwort hier behoben wurden. Eine PHP-Versions-Prüfung ist nicht nötig, da ich das Script erfolgreich auch auf PHP4-Systemen installiert und getestet habe. Somit ist es Abwärtskompatibel. Das Sparbuch kann man bereits im Administrationsbereich abschalten. Hat jedoch bis zur Version 2.3 noch keinen Effekt auf die Erreichbarkeit des Sparbuchs. Die topframe_forced-, fc-, pclick- und pcheck-dateien habe ich allesamt überarbeitet, korrigiert und optisch ans VMSR-Grunddesign angepasst.
@Hardy
Das Menü-Klapp-Problem wird von mir bis zur 2.4 auch bearbeitet. Kann es aber nicht versprechen, dass es im 2.3-Update bereits drin sein wird. Daher bis 2.4. Ansonsten wird diese Funktion aus dem Standard-Design entfernt.
Also ich finde schon das hier allgemeine Kritik geschrieben werden sollte den einen "Feedback" Thread gibt es ja nicht somit bleibt nur diese Plattform um sich allgemein über das Script zu äusern. Diese Chance möchte ich auch mal nutzen.
Für mich war das VMS immer ein CMS für Anfänger also ein einfaches Script wo Losehungrige User ihre ersten Schritte in Sachen HTML,PHP,CSS und MySQL machen.
Ausgezeichnet war das VMS also immer durch einen einfachen Code und einer leichten Modifizierung.
Das augenmerk lag bei der Weiterentwicklung des Scriptes immer auf der Performancesteigerung und Optimierung und Vereinfachung
Dies ist nun mit den aktuellen Script leider nicht mehr gegeben.
Der Basiscode ist für Anfänger wesentlich schwieriger geworden.
Der Installer ist ja wirklich nett aber für leute die sich das erste mal mit PHP und MySQL beschäftigen hätte ich das nicht gemacht. Die ersten eindrücke erhält man doch wenn man sieht welche dateien man hochlädt und wenn man seine ersten Änderungen in einer Konfigurationsdatei macht.
Hinzukommt natürlich die Klammanbindung diese ist immernoch gegeben sogar noch mehr denn je dank Multimillionär und Sparbuch und AP´s.,hier hätte ich mir mal eine abkoppelung gewünscht also ein VMS ohne Klammanbindung und die Anbindung evtl nur als Addon hätte ich mir hier gewünscht.
Summa summarum lockt man so nämlich keine neuen Nutzer mehr hintern Ofen hervor.
Ein VMS ohne Klammanbindung als CMS für alles mögliche würde natürlich für addonentwickler noch viele weitere möglichkeiten bereitstellen.
So nun zu dem was mir heute beim Testen noch aufgefallen ist:
- Ich sehe von dir ein Copyright im Impressum,im Footer und sogar im Userprofil bearbeiten?! Muss das tatsächlich sein oder reicht das nicht wenn man das an mancher Stelle nur versteckt im Kommentar schreibt?
- Die Seiten, Einzahlen,Auszahlen und News zeigen bei mir keinen Content an also noch nichtmal den head
NeoGriever
16.08.2013, 19:37
Einzahlen und Auszahlen werde ich prüfen.
News zeigt nur dann news an, wenn man news eingetragen hat. Sind keine News gespeichert, werden schlichtweg auch keine angezeigt.
Das Copyright ist für das jeweilige Script. In diesem Falle wäre ja schon das Copyright im Impressum zu viel, da hast du recht. Das Copyright im Userprofil bearbeiten ist direkt für das Script zum bearbeiten des profil's. Daher steht es dort separat.
Wegen deinen Bedenken: Das VMSR ist nicht ausgerichtet auf "Neulinge-In-PHP", sondern auf Seitenbetreiber, die möglichst schnell an den Start gehen wollen. Das VMS one bietet für PHP-Neulinge ein wunderbares Bastler-Werkzeug. Ja. Aber für Seitenbetreiber, die ein neues System aufsetzen wollen, wäre das VMS one "mal so eben" nicht geeignet. Da es häufig zu vielen Fehlern kommen kann, wenn man nicht aufpasst. Das VMSR überspringt diese Probleme. Zielt aber dafür nicht mehr auf diese "PHP-Neulinge" ab, sondern auf Seitenbetreiber, die halt schnell etwas installieren wollen, was auch funktioniert.
Die MySql-Performance (mehr MySql-Abfragen) werden später von mir noch optimiert. In erster Linie ging es mir um die Funktionalität und Stabilität. Die häufigen Abfragen kommen ggf. durch die Umstellung der Seiteneinstellungs-Ressourcen, welche nicht mehr in EINEM MySql-Eintrag gespeichert werden, sondern in mehreren, beliebig erweiterbaren Einträgen.
Dazu kommt noch: Er hat die aufgezählten Probleme als Anreiz dafür genommen, das VMSR zu verhöhnen.
aber waren doch schon ein paar Dinge dabei, die zu meiner Erheiterung beigetragen haben
Man kann seine Meinung äußern, aber nicht mit Fehlern, welche hier behoben werden können, darüber herziehen.
---
Inzwischen ist 2.2 draußen:
http://www.designerscripte.net/downloads.php?do=file&id=193
Das ganze enthält 2 Zip-Pakete.
1. Paket: Installation OHNE datei-kopier-vorgang. Die Dateien und Ordner müssen per Hand über FTP hochgeladen werden. Danach die Setup-PHP aufrufen.
2. Paket: Wie üblich. 1 Datei, 1 Uploaden, 1 Aufrufen, Anweisungen folgen. Fertig.
Da kann sich jeder aussuchen, was er genau nutzen will.
NeoGriever
16.08.2013, 22:06
http://images.cooltext.com/3287360.png
http://images.cooltext.com/3287345.png
http://www.designerscripte.net/forumdisplay.php/96-VMS-R-Support (http://www.designerscripte.net/forumdisplay.php/96-VMS-R-Support)
Das VMSR hat nun seinen eigenen Bereich.
Da kann jetzt alles korrekt gepostet und kommentiert sowie auch beanstandet oder gelobt werden.
NeoGriever
17.08.2013, 12:53
http://images.cooltext.com/3287360.png
Version 2.3 ist nun draußen. Es kann aber noch ein klein wenig dauern, bis der Download der 2.3 in den Downloads auftaucht.
Es wurde einiges geändert. Mehr dazu in den Beschreibungen der Downloads.
Nebenbei: Opera scheint mit den Ein- und Ausklappen problemlos klar zu kommen. Habe Opera (neueste Version) installiert und es getestet. Funktioniert fehlerfrei. Prüfe bitte deine Version von Opera. @Hardy (http://www.designerscripte.net/member.php/2110-Hardy)
Kraemer84
17.08.2013, 14:53
So hab es mir auch mal heruntergeladen und installiert und mir sind auch gleich 2 Sachen aufgefallen.
Vielleicht liegts ja an meinem Webspace ??? :rolleyes:
Aber.. wenn ich den Wartungsmodus aktivier endet es in einem ..//wartungsmodus.php und selbst wenn ich den Link im Browser mit einfachen / aufruf erhalte ich die 404 interne
Zudem wenn die News leer sind:
Kein Header - keine Info
dabei wäre es doch mit einem
if ($news_count == '')
{
head('News');
echo 'Keine News vorhanden';
foot();
}
doch so einfach zu lösen
(kann man ja mal beim nächsten Update dran denken ^^)
NeoGriever
17.08.2013, 17:05
Ja. Das wird im 2.4 dann drin sein.
Das Wartungsmodus-Problem wird dann auch behoben.
NeoGriever
17.08.2013, 20:34
Nur mal so eine Spinnerei.
Was haltet ihr von einer Integration der römischen Nummerierung (http://xn--rmische-zahlen-vpb.com) für sämtliche Listenfelder und Tabellen im VMSR?
Natürlich nur für kürzere Listenfelder.
Ist zwar etwas komisch zu erklären. Aber wäre am Ende ein kleiner Farbklecks im tristen Zahlendschungel von Klamm. Die ganze zeit nur lateinisches gewusel. Hast du deinen Kontostand mal in römischen Zahlen geschrieben? XD
Später werden weitere solcher Fragen kommen. Da werd ich aber Umfragen dranhängen.
DJschatz27
18.08.2013, 14:06
wenn du uns da mal ein beispiel für machst können wir uns das schon eher vorstellen dann bekommst auch bessere antworten auf deine fragen
EDIT: Wäre es auch machbar das wenn Slots rein kommen das man pro slot nur 1 Fenster/Tab öffnen kann weil das wäre fairer und besser mit logs oder sonstiges so das es unterbunden wird mal frag??
NeoGriever
18.08.2013, 19:33
Das mit den römischen Ziffern habe ich wieder verworfen.
Das mit dem Nur-1-Slot-Tab wäre möglich. Würde dann per Ajax-Requests verhindern, dass mehr als 1 Slot-Tab offen ist. Ist dennoch ein 2tes Tab offen, wird der Ajax-request dafür sorgen, dass der Slot ausgeblendet wird und somit nicht spielbar wäre.
auron2008
18.08.2013, 20:17
Ich schreibs einfach mal hier rein. Ne kleine Optimierung die ich schon öfters gemacht habe. Vor jeder Buchung wird create_code() ausgeführt um eine BuchungsId zu bekommen und diese wird als char in die db eingefügt. Eine BigInt Spalte mit auto increment wäre wohl die effektivere Variante.
NeoGriever
18.08.2013, 23:03
Das gehört ins Bugreport. Da gehören auch Ideen rein ^^
Darüber hinaus: Dazu müsste das gesamte System abgeändert werden. Werd ich in einer späteren Version ggf. einbauen.
DJschatz27
19.08.2013, 02:08
Moin Danke das wäre gut
hab mir grad das Update 2.3 drauf gepackt und muß feststellen das paar sachen die du geupdatet hast nicht klappen das wären die
Einzahlungen kein content oder wie man sagt kein head in der datei schon
Multimillionäre kann man im admin nicht deaktivieren bleiben auf der seite stehen
Betreiberdaten kann man keine speichern
die news solltest noch mal mit nem zeilen umbruch versehen
im userprofil sollte statt 50 forcedbanner nur 25 rein wegen den sponsoren eben
Wenn das sparbuch deaktiviert wird wäre es schön wenn die Einzahlbeträge in der buchungsliste stehen würden
So das viel mir so auf und fände es toll wenn man irgendwo die version sehen kann welche aktuell drauf ist
Hoff ist alles verständlich und habs mit dem Browser Opera getestet falls es jemand wissen möchte
NeoGriever
19.08.2013, 02:28
Sparbuch-Rückzahlungen werden später noch eingefügt im 2.4. Genauso wie die Versionsanzeige.
Sämtliche anderen Probleme wurden behoben. Bis auf das Problem mit dem Speichern der Betreiberdaten. Da werd ich mich mal genauer mit Befassen, insofern andere User auch dieses Problem haben. Ansonsten liegts doch eher am benutzten Server.
auron2008
19.08.2013, 09:13
Gut, vielei kann ein Admin mal verschieben. Geändert werden müsste nur die buchungsliste funktion. Es kann ja weiter die buchungsid übergeben werden, dann verwendet man se halt einfach nicht. Das macht's um einiges einfacher da man sich auhc zeit lassen kann jedes game/addon zu ändern.
rene_1992
22.08.2013, 18:21
Hallo,
hast du ja ganz ordentlich programmiert. ;-)
Was noch wäre: bitte das Admin-Passwort MD5-verschlüsseln. Außerdem bitte seiten_configuration.einzahlgrenze standardmäßig höher setzen. Bei den Konten könnte ein Salt rein. Weiter hat das Script eine Kinderkrankheit: vmsr_kontodaten hat einen AUTO_INCREMENT von 0 und nicht 1, sodass das Adminforce die ID 0 (welche der erstellte Admin hat) nicht aufrufen kann. Kommt einfach daher, dass !empty(int(0)) == false ist.
Da seht ihr mal, dass ich gar nichts gegen euch User habe.
Gruß
Richard R.
NeoGriever
23.08.2013, 12:22
vmsr_kontodaten hat einen AUTO_INCREMENT von 0 und nicht 1, sodass das Adminforce die ID 0 (welche der erstellte Admin hat) nicht aufrufen kann. Kommt einfach daher, dass !empty(int(0)) == false ist.
vmsr_kontodaten hat garkeinen AUTO_INCREMENT-Wert festgelegt. Der Standard-Index-Wert ist auf 0 gesetzt. Dieser wird via Klamm-ID später festgelegt. Der Admin MUSS also seine Klamm-ID festlegen.
Ist auch im VMSone bereits so. Habe daran nichts geändert.
- Admin-Passwort wird md5 verschlüsselt
- Einzahlgrenze auf 1.000.000 erhöht.
Was meinst du mit einem Salt für die Konten?
...
Was meinst du mit einem Salt für die Konten?
http://www.vms-tutorial.de/wiki/MD5_Passwort_Hashes_mit_Salt
NeoGriever
23.08.2013, 12:54
Das mit dem Salt ist ein ziemlicher Aufwand im VMS-R. Im VMS ist es noch recht simpel. Im VMS-R hat sich dabei aber einiges geändert. Werd es mir aber überlegen.
Ggf. weiche ich sogar auf einen ganz neuen Algorythmus aus.
auron2008
23.08.2013, 13:30
Gruß
Richard R.
Stört das hier keinen ? Außerdem sollte selbst rene aus md5 gelernt haben als er allen sein Passwort als md5 hash preisgegeben hatte.
Stört das hier keinen ? Außerdem sollte selbst rene aus md5 gelernt haben als er allen sein Passwort als md5 hash preisgegeben hatte.
Wundert dich das? Rene Roebel / Richard R. / und er hat schon vor einiger Zeit sein Passwort hier lesbar hinterlassen ^^
Achso schon beim 1. Satz war iwie klar, dass sein Beitrag nicht ernst gemeint sein kann ....
Das mit dem Salt ist ein ziemlicher Aufwand im VMS-R. Im VMS ist es noch recht simpel. Im VMS-R hat sich dabei aber einiges geändert. ...
Lol und wieder ein Brüller ^^ Da hat sich gar nix geändert, kannste so 1:1 übernehmen, ohne großen Aufwand. Scheint hier kennt wer sein "eigenes" Skript nicht :p
Das mit dem Salt ist ein ziemlicher Aufwand im VMS-R. Im VMS ist es noch recht simpel. Im VMS-R hat sich dabei aber einiges geändert. Werd es mir aber überlegen.
Ggf. weiche ich sogar auf einen ganz neuen Algorythmus aus.
Nimm besser einen Salt.
Im Falle dass die PW Hashes mal geklaut werden, ist das besser als auf einen anderen Algo zu wechseln, für welchen in kurzer Zeit ebenfalls Regenbogentabellen zur Verfügung stehen.
wie wäre es mit einem workarround für die php 5.5 pasword api?
https://github.com/ircmaxell/password_compat
das als libary einbinden (deaktiviert sich bei installiertem php 5.5 selbstständig)
md5($password) mit password_hash bzw password_verify ersetzten
und fertig sind die sicheren Passwörter.
alles in allem ein Aufwand von max 1 Stunde
NeoGriever
25.08.2013, 23:39
WICHTIG!
Das aktuelle Setup hat einen kleinen Fehler!!!
Ihr könnt diesen selbst korrigieren, indem ihr die Setup-Datei öffnet und in Zeile 74 (bei beiden Versionen gleich) das "AUTO" löscht. ... Und wehe, da fragt jetzt einer, wo mein Auto stünde ... -.- XD
Genauer gesagt: aus
... DEFAULT CHARSET=latin1 AUTO";
wird:
... DEFAULT CHARSET=latin1";
Wer sich diese Mühe NICHT machen will:
http://zuckercraft.de/VMSR.EasySetup.v.2.3.1.fixed.zip (QuickSetup)
http://zuckercraft.de/VMSR.EasySetup.v.2.3.1.ftp.fixed.zip (FTP)
*sing* Neo wir wissen wo dein Auto steht
xD
NeoGriever
25.08.2013, 23:58
War ja SO klar, dass irgend nen Spruch deswegen kommen musste XD
Kraemer84
29.08.2013, 17:52
So mir ist heute mal was aufgefallen. Ich hab jetzt den ersten Sponsor eingebaut und irgendwie den Wartungsmodus vergessen also hat sich heute 439454 bei mir angemeldet.
Hat 10 Forcedklicks und damit 28.000,00 Klammlose verdient
und hat jetzt einen Kontostand von 6.000.028.000,00 ??
in Buchungen ist nichts verzeichnet
ist da noch ein Fehler oder war das schon der erste Hacker ?
zum glück ist mein ef im moment leer das hätte böse ausgehen können :eek:
/edit ok also der user ist schonmal ein böser
(1) ClixKing (http://www.klamm.de/user/clixking-313449.html)http://img4.klamm.de/images/ico_boy.gif vergibt 0 Klammern · 19. März um 20:16
Klickfaker/Botuser! Gesperrt auf LoseKing.de. Finger weg!
NeoGriever
29.08.2013, 18:04
Ah. Sorry. Das ist definitiv noch ein Debug-Fehler.
Wird umgehend korrigiert mit Korrekturanweisung hier im Beitrag beschrieben zur Behebung. O_O
Dass ich DAS übersehen konnte o_O
Korrektur:
Datei: /content/intern/anmelden.php
Zeile: 140
db_query("INSERT INTO ".$db_prefix."_kontodaten (uid,passwort,status,hinweis,kontostand) VALUES ('".$_POST['uid']."','".md5($_POST['passwort_1'])."','1','','6000000000')");
Dort siehtman schon, wo der Fehler liegt. Die 6000000000 zu 0 ändern
db_query("INSERT INTO ".$db_prefix."_kontodaten (uid,passwort,status,hinweis,kontostand) VALUES ('".$_POST['uid']."','".md5($_POST['passwort_1'])."','1','','0')");
Fertig.
Der Fehler war schlichtweg ein "hab ich übersehen"-fehler. Dieser war drin um halt Debug-Tests problemlos durchführen zu können. Da ich mich bei der Installation nur als Admin angemeldet hatte, war dann das ganze von mir übersehen worden.
Edit:
1. Ich denke ich werde das Setup so ändern, dass die seite grundsätzlich im Wartungsmodus startet.
2. Unabhängig des Faker-Users hat er doch geholfen. Sonst wär uns der Fehler nich so schnell aufgefallen.
3. Ich werde gegebenenfalls eine Global-Ban-List mit einbauen, welche eine zentralanlaufstelle bietet, um user auf fast allen seiten auszusperren. Aber auch um einzelne ausgesperrte user zuzulassen. Inklusive abschaltbarkeit usw. So kann man faker/hacker/botuser sehr schnell global loswerden.
...
3. Ich werde gegebenenfalls eine Global-Ban-List mit einbauen, welche eine zentralanlaufstelle bietet, um user auf fast allen seiten auszusperren. Aber auch um einzelne ausgesperrte user zuzulassen. Inklusive abschaltbarkeit usw. So kann man faker/hacker/botuser sehr schnell global loswerden.
Die Idee ist schon etwas älter.
Die Frage ist, wer entscheidet wer in diese Liste reinkommt oder nicht?
Viele Admins die leider gar keine Ahnung von Ihrem Script haben, haben schon User wegen den unmöglichsten Dingen des Fakens bezichtigt.
Darunter Dinge wie zu schnelles Klicken mit gedrückter STRG Taste oder das Gewinnen von echten Losen an Slots im Spiel mit Bonuslosen.
Da werden gern auch mal ehrliche User des Fakens bezichtigt.
Ich wurde mal auf einer Seite gesperrt, weil ich den Autosurf aus den Lesezeichen aufgerufen habe, anstatt mich erst einzuloggen und dann den Autosurf per Link zu starten.
So eine Art glober Pranger ist schon nicht unkompliziert.
NeoGriever
29.08.2013, 21:08
Es wird moderiert.
Jeder, der über diesen "globalen Pranger" gebannt/gesperrt wird, kann sich dort melden und seinen Fall schildern. Ist dieser Fall plausibel und nachvollziehbar, wird zunächst der Admin, wessen "pranger-eintrag" zum bann führte befragt und die sachlage geschildert. Gibt es vom Admin entweder eine Antwort der positiveren sorte ("habe ihn gebannt, weil er scheinbar ..." blabla) oder antwortet der Admin garnicht, wird der User wieder freigeschaltet
Das Bann-System wird auf Basis von Punkten (Wie ein Strafkatalog) basieren. Ab einer bestimmten Punktezahl-Menge wird der User gebannt. Die Punkte lassen sich nicht abbauen, außer durch gerade geschilderte Methode der Klärung.
Zum Schutz vor Spam-Prangereien wird das System selbstständig auf die Häufigkeit der Pranger-Einträge je Seite ($_SERVER["SERVER_NAME"]) achten und übermäßige Prangereien für Moderatoren anzeigen, dass diese genauer geprüft werden können. Sollte ein Seitenbetreiber absichtlich falsche Pranger-Angaben machen, werden sämtliche Pranger-Einträge von dieser Seite deaktiviert/gelöscht und die Nutzung des Prangers wird für die Seite zwangs-ausgeschaltet. Jegliche durch die gelöschten Pranger-Einträge gebannten User werden entbannt.
Pranger-Einträge haben sofortige Wirkung. Um Hackern keine Chance zu geben. Man kann auch Schlüsselpunkte (V-Check) als Pranger-Automatik-Auslöser integrieren. Werde dafür eine API dazubauen, welche im VMSR direkt integriert ist.
Der Pranger wird mittels eines Sicherheitsschlüssels, welcher ähnlich der Schlüsselgenerierung von Paypal, durch insgesamt 3 Abfragen geschützt wird. Ohne diesen Sicherheitsschlüssel ist es nicht möglich, Pranger-Einträge zu erstellen. Gebannte User werden ohne Sicherheitsschlüssel übermittelt.
Es ist quasi ähnlich meines Projektes http://eul.woetroep.de/, welches auf einem ähnlichen Prinzip beruht.
Das aufwändigste wird die Moderation sein.
Aber wie du siehst, hab ich mir da schon Gedanken gemacht. Falls du noch Angriffslücken siehst, sag bescheid.
... Man kann auch Schlüsselpunkte (V-Check) als Pranger-Automatik-Auslöser integrieren. Werde dafür eine API dazubauen, welche im VMSR direkt integriert ist.
...
Aber wie du siehst, hab ich mir da schon Gedanken gemacht. Falls du noch Angriffslücken siehst, sag bescheid.
Da sehe ich schon mehr als ein Problem.
Z.B. nur weil der V-Check bei einem User schlecht ist, muss er noch lange kein Faker sein.
Diesen V-Check Wert dann als Kriterium für eine automatische(!) Prangermeldung zu nutzen halte ich für mehr als bedenklich...
Alleine die Tatsache dass die User erstmal automatisch und "grossflächig" gesperrt werden und dann praktisch nach der Sperrung die Feststellung Ihrer Schuld oder Unschuld "beantragen" sollen finde ich nicht so gut.
Was passiert übrigens bis zur Feststellung der Schuld/Unschuld?
Bleiben die User gesperrt (obwohl sie ggf. gar nichts gemacht haben) oder wird jeder der Einsprüche hat, erstmal wieder "befreit"?
Wie verhinderst Du dass Admin X, welcher die Rally auf Seite Y gewinnen will, User Z, welcher in der Rally ein starker Konkurent ist, als Faker meldet um dann nach Ausschaltung der Konkurenz die Rally zu gewinnen?
Zu prüfen ob Admin X die Rally auf diese hinterhältige Art gewonnen hat, fällt auch schwer, wenn Admin X unter dem Namen A einen zweiten Account hat und diesen zur Fakermeldung verwendet.
Da könnten sich so einige Probleme ergeben.
NeoGriever
30.08.2013, 09:42
- Wegen z. b. V-Check. Da greift das Punkte-System. Darüber hinaus: Wer dauerhaft trotz vielem Geklicke einen V-Check unter 10% hat, der sollte sich Gedanken machen.
- Sperrung erfolgt erstmal nur auf der entsprechenden Seite, wo der Pranger-eintrag herkam.
- Prüfung befreit auf der Seite NICHT vom Pranger. Erst, wenn die Unschuld erwiesen wurde.
- 2 Wochen zählt die Sperrung auf der Pranger-Auslösenden Seite. Erfolgt keine Prüfungsanfrage, weitet sich die Sperrung auf alle Seiten aus, welche den Pranger nutzen.
- Ist eine Prüfung eingeleitet worden, verfällt die Umstellung auf die globale Bannliste bis zur Fertigstellung der Prüfung. Somit ist man während der Prüfung zwar vor einem globalen Bann geschützt, weitere Pranger-Einträge von anderen Seiten unterliegen aber weiterhin der 2-Wochen-Regel.
- Sollten solche "Ralley-Konkurrenz"-Fälle auftreten, fliegt der Admin aus dem System. Fake-Meldungen werden schlichtweg hart verurteilt. Und ich denke mal, ein User, der in einer Ralley rausgeworfen wird, wird sich sehr wahrscheinlich auf der Seite als aktiver User nicht mehr blicken lassen.
Das Punkte-System wird auf mehrere Ebenen aufgeteilt. Kleine Delikte (V-Check-Wertung, Falsche IP (Kann ja auch nen UMTS-Stick sein), Doppelaccounts usw.) haben eine niedrige Punktewertung. Schwere Delikte (Botusing, Hacking, usw.) hingegen haben eine hohe Punktewetung.
Wird ein bestimmter Punktewert überschritten (sehr hohe Delikte-Punktewetungen werden häufig direkt diese Schwelle überschreiten, jedoch auch eindringlicher geprüft.), erfolgt der Bann.
Nutzt man das Pranger-System, ist zwangsläufig auch der globale Log aktiviert. Um Aktionen der User direkt nachvollziehen zu können. Der globale Log speichert jede Aktivität auf der Seite. Welcher User zu welcher Uhrzeit auf welcher unterseite der Seite mit welchen Session-, Post sowie Get-Daten unterwegs war. Somit kann man recht schnell fake-aktionen aufspüren.
Das frisst natürlich einiges an Speicher. Aber ich bin noch am überlegen, wie ich diese informationen komprimieren kann.
NeoGriever
30.08.2013, 19:17
So.
Ich habe letztens ne kleinigkeit gebastelt.
http://zuckercraft.de/minislot/
Das ganze werde ich nur im VMS-R kostenlos einbauen. Werde aber lizenzrechtlich direkt darauf verweisen, dass es NUR für das VMS-R kostenlos ist. Für das VMS sowie das FWX wird es das auch geben, jedoch für 50.000.000 Lose.
Die Demo unter dem Link basiert noch auf Zufall und ist noch mit keiner Jquery-API verbunden. Also nicht wundern. Wie das Spielprinzip am ende aussehen wird, werd ich nicht verraten. Erst wenn es fertig ist.
Der gesamte Slot basiert auf CSS und Jquery und ist 100% W3C-Valide. Und das im XHTML-Strict-Mode.
Das Script darf ohne Genehmigung nicht verändert werden. Der CSS-Part ist davon ausgeschlossen. Die Anzahl der "Rollen" wird auf 6 reduziert. Kann aber leicht erweitert werden.
Zu sagen wäre noch: Der Slot wurde im aktuellen Google Chrome, aktuellen Firefox und IE 8+ getestet. Im IE gibt es minimale optische unterschiede. Funktionsweise ist jedoch davon unbeeinflusst.
Was haltet ihr davon?
Kraemer84
30.08.2013, 19:35
Zeile 12 und Zeile 8 in index.php?content=/verdienen/betteln4
jeweils ein / zuviel nach <a href="<?php echo $domain;?>
ansonsten wartungsmodus hakt immer noch
denk das wars dann aber auch so langsam ^^
Das ganze werde ich nur im VMS-R kostenlos einbauen. Werde aber lizenzrechtlich direkt darauf verweisen, dass es NUR für das VMS-R kostenlos ist. Für das VMS sowie das FWX wird es das auch geben, jedoch für 50.000.000 Lose.
Das Script darf ohne Genehmigung nicht verändert werden. Der CSS-Part ist davon ausgeschlossen. Die Anzahl der "Rollen" wird auf 6 reduziert. Kann aber leicht erweitert werden.
Hey,
Du hast einen denkfehler, den schon viele hier gemacht haben. Wenn ich eine Lizenz erwerbe (z.b. fürs vms-r) darf ich diese für den eigengebrauch, den code meinen bedürfnissen anpassen und auch an das jeweilige script. nur mal so als anmerkung, gab schon mehrere streitigkeiten hier. Kannst die SuFu hier nutzen
KEINE RECHTSBERATUNG ODER ÄHNLICHES
2. Wenn ich einen Lose Slot an ein anderes Script anpassen lassen möchte benötige ich eine Umbau Lizenz?
Zu 2: Du kannst den Slot umbauen wenn du nur eine E-Lizenz hast... Aber nur zum Eigengebrauch, also ein Verkauf wäre dann nicht gestattet, dafür gibt es dann die Umbau Lizenzen.
MfG
Hab dir hier mal was aus der SuFu rausgesucht, dementsprechend, ich holle mir eine Lizenz vom vms-r (villeicht mit dem download dessen, erwerbe ich direkt eine lizenz) und darf sie wie gesagt umbauen auf meine eigne systeme
KEINE RECHTSBERATUNG ODER ÄHNLICHES
NeoGriever
31.08.2013, 04:08
Dieser Slot darf kostenlos NUR für das VMS-R verwendet werden. 'Optische' Anpassungen sind erlaubt.
Dieser Slot kann für das VMS erworben werden. Optische sowie interne Anpassungen der VMS-Version des Slots sind erlaubt. Ein Erwerb des Slot's für das VMS oder FWX erlaubt keine Manipulation am VMS-R-Slot.
Meine Güte. Du Haarspalter.
Also nochmal ganz kurz und bündig: Es ist für's VMS-R kostenlos. Darfst aber damit nicht rumexperimentieren. Wenn du es fürs VMS oder FWX kaufst, kannst du mit den jeweiligen Versionen basteln, wie du willst. Aber nicht mit der VMS-R-Version. ;) Verstanden?
Masterphil
01.09.2013, 17:27
Dieser Slot darf kostenlos NUR für das VMS-R verwendet werden. 'Optische' Anpassungen sind erlaubt.
Dieser Slot kann für das VMS erworben werden. Optische sowie interne Anpassungen der VMS-Version des Slots sind erlaubt. Ein Erwerb des Slot's für das VMS oder FWX erlaubt keine Manipulation am VMS-R-Slot.
Meine Güte. Du Haarspalter.
Also nochmal ganz kurz und bündig: Es ist für's VMS-R kostenlos. Darfst aber damit nicht rumexperimentieren. Wenn du es fürs VMS oder FWX kaufst, kannst du mit den jeweiligen Versionen basteln, wie du willst. Aber nicht mit der VMS-R-Version. ;) Verstanden?
Da sehe ich aber einen Widerspruch in deiner Aussage, sind Anapssungen nun erlaubt odern nicht ?
NeoGriever
02.09.2013, 02:30
Optische > ja
Technische (internes script) > nein
Technische (internes script) > nein
Für den eigengebrauch, kannst du es einem nicht verbieten
NeoGriever
03.09.2013, 10:58
Solange es nicht öffentlich verbreitet wird, kannst du im eigengebrauch damit machen, was du willst.
Du kannst dir ja auch programme decompilieren und anschauen und daran herumwerkeln wie du lustig bist, solange du das ding danach nicht ohne genehmigung online stellst und somit anderen zur verfügung stellst. ;)
Gibt natürlich auch explizite Ausnahmen.
Und jetzt gut mit der Haarspalterei. Sonst muss ich für das Ding noch extra ne komplette AGB aufsetzen. Oo
- Wegen z. b. V-Check. Da greift das Punkte-System. Darüber hinaus: Wer dauerhaft trotz vielem Geklicke einen V-Check unter 10% hat, der sollte sich Gedanken machen.
- Sperrung erfolgt erstmal nur auf der entsprechenden Seite, wo der Pranger-eintrag herkam.
Dan sollte ich mir wirklich gedanken machen...
Ich habe eine Fixe Schweizer Ip in diversen listen wird diese IP aber Europa zugeordnet und nicht der Schweiz,
Da viele sponsoren nach dem freigabe prinzip und nicht nach dem ausschlusverfahren arbeiten... bin ich zum klicken ungeeignet...
Da EU nicht DE/AT/CH ist...
meinen vcheck liegt wenn ich auf meiner seite klicke bei so 5-20%
kommt natürlich auf den sponsor an... viele 0% manche 100%...
NeoGriever
04.09.2013, 00:27
Daher moderative Überprüfung. So kann man solche Automatischen Erkennungen schon im Vorherein ausschließen. Die automatischen erkennungen würden an 2 Stellen aushebelbar sein. 1. vom Seitenbetreiber selbst, der pro User oder global diverse auto-detektoren abschalten kann und einmal von der Zentralseite, welche ebenfalls pro User für eine Seite, pro User für alle seiten oder eine seite allgemein eine oder mehrere Auto-Detektoren aushebeln kann.
;)
Asterix33
05.09.2013, 13:48
Wie willste das machen wenn ein Seitenbetreiber das VMSR für ne andere Währung nehmen will , betreff des global bans ?
NeoGriever
05.09.2013, 16:00
Das VMS-R ist derzeit noch nicht ausgelegt für eine Alternativwährung. Wenn ich das später mal integriere, wirds dann auch für die Zentral-Seite eine Weiche geben, welche zwischen den einzelnen Währungen/Usern unterscheiden kann. Die User verschiedener Währungen werden sich also nicht vermischen.
Asterix33
05.09.2013, 16:12
Werd mich mal Überraschen lassen. Würde erstmal das VMSR ohne den Globalban machen :)
Was mir da fehlt ist ne verlinkung vom Userbereich --- > Adminbereich und umgekehrt , und vieleicht ne abfrage ob man nen VMSR mit oder ohne Klammanbindung Installieren möchte .
Ansonsten gefällt es mit recht gut , abgesehen von den kinderkrankheiten :)
NeoGriever
05.09.2013, 16:33
- Das Global-Pranger-System steht noch in den Sternen. Ist alles im moment noch Theoretisch.
- Verlinkung ist mit Absicht nicht drin.
- Das VMS-R wird derzeit nur mit Klammanbindung angeboten. Bin mir auch nicht sicher, ob ich eine Version ohne Klammanbindung hinkrieg.
auron2008
08.09.2013, 15:28
- Das VMS-R wird derzeit nur mit Klammanbindung angeboten. Bin mir auch nicht sicher, ob ich eine Version ohne Klammanbindung hinkrieg.
Ich hoffe du meinst das jetzt zeitmäßig und nicht programmiertechnisch.
NeoGriever
08.09.2013, 16:37
Zeitmäßig.
Und darüber hinaus weiß ich schlichtweg nicht, welche Klammanbindungs-Punkte da beachtet werden müsten, damit dies entfernt/ausgeschaltet werden könnte.
Würde dafür nämlich keine separate Version rausbringen, sondern eine Option im Adminbereich zur Verfügung stellen.
marcaust
12.09.2013, 12:36
Hi
ich hab mir eben mal das Teil runter geladen und in ner Testumgebung installiert.
Optisch sieht es aufgeräumt aus, allerdings bin ich nach der Installation über die Datei VMSR.EasySetup.v2.3.2.ftp.php nicht mehr ins Admin gekommen. Nach etwas Suche hab ich dann raus gefunden das es beim anlegen nur nicht verschlüsselt wird.
Nicht so prickelnd find ich das Admin Passwort dann noch als Klartext im Global Log gefunden habe. Das sollte bitte nachgebessert werden.
NeoGriever
12.09.2013, 15:18
Oha. Sry. Wird alles direkt korrigiert. :/
Nobody is perfect. Danke für den Bugreport.
[...]
- Verlinkung ist mit Absicht nicht drin.
[...]
Echt, warum?
Hab grad das VMS-R nicht zur Hand, aber im VMS hatten wir
if (in_array($_SESSION[uid], $teamIDs)) {
// Adminmenue
}oder so ähnlich...
NeoGriever
13.09.2013, 22:27
Die Verlinkunt ist drin. Oben steht "Startseite" usw, welches nebeneinander steht. Diese führen zur Startseite.
Das mit den Admins wird eh noch auf die User-Datenbank übertragen. Genauso wie die User-Passwörter ohne SALT (weiterhin auf MD5), aber besser verschlüsselt werden. Man erreicht dies schon, indem man an das Passwort einfach ein weiteres Wort oder irgendwas dranhängt. Beispiel:
md5("12345") = 827ccb0eea8a706c4c34a16891f84e7b = http://www.md5-hash.com/md5-hashing-decrypt/827ccb0eea8a706c4c34a16891f84e7b
Aber:
md5("12345" . "_g98w234b50db8b88") = aa93e00a0cdfcd3f5c72ec6f1dd1e2e1 = http://www.md5-hash.com/md5-hashing-decrypt/aa93e00a0cdfcd3f5c72ec6f1dd1e2e1
Ist einfach und sehr effektiv. Und wenn jeder ein anständiges Passwort hat, würde das ganze schon ziemlich sicherer gegenüber der normalen md5-verschlüsselung sein. Und das trotz ungenutztem SALT. :)
Aber:
md5("12345" . "_g98w234b50db8b88") = aa93e00a0cdfcd3f5c72ec6f1dd1e2e1 = http://www.md5-hash.com/md5-hashing-decrypt/aa93e00a0cdfcd3f5c72ec6f1dd1e2e1
Ist einfach und sehr effektiv. Und wenn jeder ein anständiges Passwort hat, würde das ganze schon ziemlich sicherer gegenüber der normalen md5-verschlüsselung sein. Und das trotz ungenutztem SALT. :)
Wie sagt man so schön? Sicherer Eindruck bei völliger Ahnungslosigkeit?
Kann das sein das du überhaupt nicht weißt was mit salt gemeint ist? Du scheinst "SALT" irgendwie für eine eigene Verschlüsselung zu halten oder so.
md5("12345" . "_g98w234b50db8b88")
ist nichts anderes als
md5($passwort.$salt)
Normalerweise sollt man das salt noch dynamisch gestalten, bringt aber nicht viel bei einem frei zugänglichen Script.
NeoGriever
14.09.2013, 01:41
Was bringt dann ein Salt bei einem frei zugänglichem script?
Mal davon abgesehen. 12345 ist in vielen md5-hashtables vorhanden. wenn man aber was zufälliges hinten dranhängt, sieht die ganze sache schon wieder anders aus.
Zur not schriebe ich eine bitwise-operation-funktion dazu, welche das pw vor dem md5 mit diversen bitshiftings und umrechnungen in ein bytearray umwandelt.
Aber meine Variante ist hingegen schon einigermaßen sicher. Weil alle pw's, die es online in hashtables gibt, wird man so in den hashtables nicht mehr finden und man müsste von 0 beginnen als hacker. Das ist die Idee, die dahinter steckt.
Edit:
Mir wurde hier erklärt, dass md5 mit salt ne ziemliche umstellung der funktionen wäre.
Du verstehst nicht, was ich dir sagen will. "Deine Variante" IST Passwort mit Salt!
Und das bringt insofern schonmal etwas, das ein Hacker den Wert von Salt kennen müßte. Das erschwert es auf jeden Fall auch schonmal bei einem frei zugänglichen Script.
Wenn nun aber ein Hacker sein eigenes Passwort kennt und es schafft an den md5-hash aus der DB zu gelangen, könnte er theoretisch den Wert von salt ermitteln und wäre dadurch wieder ganz normal in der Lage Rainbow-Tables zu nutzen. Deswegen halt dynamisch. Mit dynamisch meine ich das jedes Konto einen eigenen Salt erhält, den man im Skript auch rekonstruieren kann. Z.B.:
md5($passwort.sha1(round(mysql_insert_id()+5555)))
oder so ähnlich. Das Problem bei einem frei zugänglichen Script ist aber eben, das egal nach welcher Formel man salt nun konstruiert, man einfach nur in das Script schauen muß, um an diese zu gelangen. Es müßte also jeder Scriptnutzer seine eigene Formel entwickeln und einfügen.
Jetz verstehen?^^
<?php
$secret_salt = "topsecretsalt"; // Autogeneriert vom installer script 32Zeichen Random
$password = "testpasswort"; //Passwort des Users
$salted_password = md5(md5($secret_salt) . md5($password)); //MD5 vom salt + MD5 vom Passwort -> MD5
$password_hash = hash('sha256', $salted_password); //und diesen string durch sha 256
?>
Wenn wir nun davon ausgehen das ein hacker das passwort in der db nun kennt,
so muss er den sha256 knacken was nicht mal unsere amis mit 3 buchstaben schaffen...
gehn wir davon aus, so hat er 32 zeichen die er duch eine tabelle jagen darf um einen string zu bekommen den er nochmal durchjagen muss (ohne zu wissen das er stimmt)
und dan einen teil salt und einen teil pw zu haben...
Have fun...
NeoGriever
14.09.2013, 18:06
Wird eingebaut. Habe inzwischen die hash-funktion md5 mit $md5 ersetzt ... sinn:
$md5 = function ...
Darin kann ich dann alles machen, was ich damit will. Inklusive komplexer funktionen und allem drum und dran.
...
Darin kann ich dann alles machen, was ich damit will. Inklusive komplexer funktionen und allem drum und dran.
Du verstehst einfach nicht um was es geht, liest dir die Beiträge anderer Leute scheinbar nicht durch und willst auch gar nicht verstehen, um was es geht. Das ist gut, weil dann kann man einfach schreiben was man will, du ignorierst das ja eh ^^
Lol erst baut er nen Salt ein, behauptet aber es ist kein Salt, sondern seine tolle Erfindung die alles auch ohne Salt sicherer macht, jetzt kommt er mit komplexen Funktionen an...
Erlebt man nur selten, solch realitätsferne Menschen, man könnte fast meinen es ist ein Bot...
...Sicherer Eindruck bei völliger Ahnungslosigkeit? ...
Wenigstens noch jemand, der das so sieht, und sich nicht nur vom "tollen Design" des VMSR blenden lässt ^^
Iwie hätte ich dem VMS(-Skript) einen würdigeren Abgang gewünscht, aber egal so ist das wenigstens amüsant :p
NeoGriever
15.09.2013, 15:16
Ich habe nix über den Salt gesagt, als ich von $md5 sprach. anstelle md5(...) zu nutzen, ersetze ich es mit einer eigenen funktion. $md5 beinhaltet eine eigene funktion, welche mir erlaubt, auch salts zu nutzen. und bei bedarf auch weitere verschlüsselungs/hash-algorythmen.
Der sinn dahinter ist, dass man weiterin md5 dastehen hat, jedoch eine andere funtion genutzt wird, wobei man nur 1 zeichen geändert hat. und bei bedarf kann man unter $md5 dann zwischen verschiedenen funktionen (wenn man diese angelegt hat) wechseln.
das wollte ich damit ausdrücken. ich lese jeden einzelnen beitrag hier. ich hab nur unter einer salt-funktionalität was falsches verstanden.
sorry, aber nobody is perfect.
NeoGriever
18.09.2013, 21:01
Ich wollte mich jetzt am VMS-R ohne Klammanbindung probieren. Da ich schon sehr häufig danach gefragt wurde.
Problem ist nur: ich habe 0 plan, wo ich da überall ansetzen muss. Das ist ja quasi, als würde man einen Schwertfisch zu nem Blobfisch umoperieren wollen.
Also wer kann mir da mal explizit sagen, wo ich da überall ansetzen soll. Umso schneller gehts.
PS: Es wird jetzt bis auf das Release der Klammanbindungs-Freien Version keine neueren Versionen geben, insofern nicht etwas gravierendes aufgelistet wird.
Derzeit arbeite ich auch an einer adaptiven Update-Funktion des Setups, welches nur nötige Dateien anpasst und das vorhandene VMS-R nicht beeinflusst. Dass, wenn ein Update rauskommt, man dieses über sein vorhandenes installieren kann und das vorhandene davon nicht zerfetzt wird. Dies funktionietm it mehreren MD5-Hashes der Dateien selbst, welche mit den bereits installierten verglichen werden und bei Bedarf halt angepasst werden. Sollte der HASH nicht stimmen, wird genau gezeigt, was geändert werden muss.
Dass dieses adaptive Update-System natürich nicht innerhalb von 2 Tagen fertig ist, arbeite ich lieber langsam, dafür aber sehr detailreich und versuche Fehler und Bugs zu vermeiden.
Zurück zum eigentlichen Problem. Falls jemand das entfernen der Klammanbindung beherrscht, möge er mir bitte eine Anfangs-Stütze geben. Also dass ich weiß, wo ich überall eingreifen soll. Es sind ja immerhin nich wenige Dateien, die im VMS vorhanden sind.
Danke schonmal.
BlueMar-Visions
18.09.2013, 21:19
Schau mal hier : http://www.designerscripte.net/showthread.php/21538-VMS-1-2-4-ohne-Klammanbindung-%28TUT%29/page6
vllt hilft es Dir weiter...
MFG
NeoGriever
18.09.2013, 21:32
Ja. Das hilft ganz schön.
Danke :)
So, ich jetzt auch mal :)
Installations-Erfahrungsbericht eines (fast) unbedarften Anwenders :)
Installiert wurde nur auf localhost (aber mit offener I-Net-Verbindung, um die Werbebanner zu sehen ;) );
Tests wie Neuanmeldungen, Passwort vergessen-Funktion etc. wurden daher auch noch nicht durchgeführt.
Installation
Ich verwende ausschliesslich die FTP-Version und beziehe mich daher ausschliesslich auf diese. Getestet wurde die VMSR-Version 2.3.2.
Eine Installation sollte sich ohne allzuviel vorherige Lektüre diverser Threads oder ReadMes möglichst einfach gestalten. Kopiere ich also alle Dateien und rufe die Startseite auf, erscheint die Meldung:
Keine oder falsche Datenbank gewählt! Tipp:
http://www.vms-tutorial.de/wiki//Lib/Functions
Dies könnte schon die erste Hürde für potenzielle Interessenten sein. Da ohnehin später alle erforderlichen Abfragen erfolgen, sollte statt der Fehlermeldung gleich die passende Installationsseite aufgerufen werden.
Dazu als Nebenbemerkung: Eine Installationsdatei "install.php" zu nennen, ist mMn nicht wirklich schlecht.
Mein Vorgehen an dieser Stelle:
1. Umbenennen der "VMSR.EasySetup.v2.3.2.ftp.php" in "install.php"
2. Aufrufen der install.php
Als Vorschlag: Da die genannte Meldung aus der function db_connect() in /lib/functions.lib.php stammt, könnte z. B. hier die Abfrage auf Existenz einer install.php erfolgen oder weit früher, z. B. in der index.php.
Falls install.php vorhanden: Location auf /install.php. Nach Installation ZWINGEND install.php umbenennen, besser löschen.
Falls nicht vorhanden: Fehlermeldung wie gehabt.
Durchführen der Installation
Nach meinem Empfinden für eine Erstinstallation gut gelöst (als Gimmick wäre noch die Angabe der VMSR-Version wünschenswert).
Falls jedoch eine Installation vorhanden ist und nicht der "Skip"-Button geklickt wird, kommt es zu Fehlermeldungen wie z. B.:
Es sind Fehler aufgetreten. Bitte melden Sie diese Fehler dem Programmierer des Setups.
Duplicate entry '3' for key 'PRIMARY'
Duplicate entry 'refralley' for key 'PRIMARY'
Duplicate entry '1' for key 'PRIMARY'
Dies liesse sich einfach lösen, indem die entsprechenden DROP-Befehle in die Installation aufgenommen werden.
Mein Vorgehen an dieser Stelle:
In der install.php nach $sql = array(); einfügen:
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_adminblacklist`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_adscan`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_adscan_frameset`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_adscan_userblacklist`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_aktivierungen`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_aktivralley`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_bilanz`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_buchungen`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_crons`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_emaildaten`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_fb_blacklist`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_gebuchte_werbung`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_global_log`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_interface`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_klickralley`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_kontodaten`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_messages`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_news`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_paidmails_empfaenger`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_paidmails_versendet`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_profilepages`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_ralleydaten`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_reloads`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_savingsbook`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_savingsbook_buchungen`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_savingsbook_configurations`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_schnittstelle`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_schnittstelle_anfragen`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_seiten_configuration`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_sekundensparbuch_list`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_userblacklist`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_userdaten`";
$sql[sizeof($sql)] = "DROP TABLE IF EXISTS `###PRFX###_werberdaten`";
Adminforce
Dass der Ordner adminforce jetzt af heisst hat zur Folge, dass in allen zu installierenden VMS1-Slots der adminforce-Ordner umbenannt werden muss ODER im VMSR alle af-Angaben wieder auf adminforce geändert werden müssen; keine für mich wirklich glückliche Lösung. Aber es gibt sicherlich Schlimmeres :)
Nach dem Aufruf der Sicherheitssperre kam ich erstmal nicht mehr in den af; beide Passwörter wurden nicht angenommen, Seite komplett gesperrt inkl. Logout. Kann natürlich an mir gelegen haben, daher nehme ich das mal, wie es ist.
Nach erneutem Aufruf von localhost/af/ erscheint keine Admin-Login-Box o. ä., sondern die Seite bleibt weiterhin gesperrt. Dies ist auf die Verwendung von $_SESSION zurückzuführen: Der Wert bleibt erhalten, wenn nicht alle Browserfenster geschlossen werden, was in diesem konkreten Einzelfall nicht möglich war.
Mein Vorgehen an dieser Stelle:
Peinlich, aber ich habe einfach nochmal installiert (vielleicht gab es bei der Installation einen Tippfehler bei der Passworteingabe).
Nein, gab es nicht: Kein Reinkommen ins af, wenn sich die Sicherheitssperre meldet.
Mein weiteres Vorgehen an dieser Stelle:
Nach längerem Suchen und Probieren in /af/index.php Neusetzen der $_SESSION-Parameter und Verkürzen der Admin-Abfrage durch Verzicht auf die Zeitsperrenprüfung. Zusätzlich in /af/login.php Auskommentieren des Zeitsperren-Abfrageblocks. Zu guter Letzt habe ich für meine localhost-Test-Installation die Login-Abfrage komplett deaktiviert; hier stünde für mich persönlich ein Umbau an, da mir die Zeitsperren-Lösung per $_SESSION zu viele Probleme bereitet hat. Ist aber wie geschrieben nur meine ganz persönliche Erfahrung und kann bei anderen völlig problemlos funktionieren.
Aufgefallene Kleinigkeiten:
(jetzt ohne nähere Seitenangaben; hab's nur noch so im Kopf):
DOCTYPE fehlt
Javascript vor <html> etc.
language="JavaScript" ist nicht mehr nötig
</input> wird im FF rot eingefärbt
Aufgefallene Tippfehler:
Aufendhalt => Aufenthalt
ralley => rallye
zum deaktivieren => zum Deaktivieren
in den Jackpot fliesen => in den Jackpot fließen
Im Jackpot befinden sicher gerade => Im Jackpot befinden sich gerade
Hier eine übersicht => Hier eine Übersicht
Die testweise Installation eines Slots in VMS1-Ausführung gestaltete sich problemlos (nach Umbenennung des adminforce-Ordners). Der Slot konnte nach Auffüllen des User-Guthabens ohne technische Probleme betrieben werden; APs wurden ebenfalls korrekt gebucht.
Der Slot ragt allerdings in das rechte Menü. Welche Anpassungen hier erforderlich sind muss ich noch ergründen.
NeoGriever
20.09.2013, 22:36
2.3.2 ist veraltet. Die Verson 3.0.0 wartet noch auf Freischaltung im Download-Bereich.
http://zuckercraft.de/VMSR.EasySetup.v3.0.0.ftp.zip
Das DropTable wird später in die Adaptive Installation eingebaut.
Danke für diesen sehr ausführlichen Test und diesen sehr detailreichen Bericht.
Die Breite des Menü's und dessen Style-Angaben liegen alle jeweils im /designs/-ordner in der entsprechenden ausgewählten Design-Variante sowie dessen Unterordner und den darin befindlichen Dateien.
Das Design-System ist Plugin-Basierend und kann beliebig ohne Eingriffe in das Script integriert werden.
Schau dir dafür mal die /designs/template_1.php und den dazugehörigen Unterordner an.
Ich arbeite im moment noch schwer an einer Addon-Selbstinstallation für Spiele. Dazu suche ich noch weitere Spiele-Zip-Pakete, welche mir struktur und Aufbau dieser ersichtlich machen, dass ich daraufhin eine API/Datenbank erstellen kann. Der Sinn: Zip-Datei in einen Ordner legen, Knopf im AF drücken, > FERTIG.
Die Tippfehler/Schreibfehler werden noch behoben.
Die ungünstig positionierten Elemente im HTML-Code wird auch noch behoben.
Das Problem mit dem AdminForce kann ich mir im Moment nicht erklären. Bisher hat die Weiterleitung nach der Installation problemlos funktioniert. Es kann aber auch sein, dass bei der Installation auf ein vorhandenes VMSR ohne den MySQL-Teil zu überspringen eine Überschneidung des Datenbankeintrages für af_password (Tabelle: vmsr_seiten_configuration) erzeugt wurde, welches sich dann überschnitt.
Die Breite des Standard-Designs kannst du in folgender Datei: "designs/vmsr.php" Zeile 127, Zeile 143, Zeile 147, Zeile 151 und Zeile 152 anpassen. Es ist ein 3-Spalten-Layout welches möglichst für den IE auch kompatibel gemacht wurde.
Sieht gut aus, die 3 :)
Das Problem mit dem af-Zugang trat nicht mehr auf.
Habe auch gleich noch einiges an Installationssachen getestet mit folgenden Ergebnissen:
================================================== =================
Fehler:
in VMSR.EasySetup.v3.0.0.ftp.php wird md5 statt $md5 verwendet, weswegen kein Login als normaler Benutzer möglich ist:
mysql_query("INSERT INTO ".$_SESSION["mysql_prfx"]."_kontodaten (uid,passwort,status,hinweis,kontostand) VALUES ('".$_POST['adm_id']."','".md5($_POST['adm_pass'])."','1','','0')");
================================================== =================
Fehler:
beim Anmelden neuer Benutzer wird in /content/intern/anmelden.php beim Eintragen des neuen Users der Status auf 1 (aktiviert) gesetzt.
================================================== =================
Mögliche Sicherheitslücke:
Mit vielen Wenns und Abers gibt es eine mögliche Sicherheitslücke (auf die ich jetzt nicht näher eingehen möchte), da als Nickname eine Zahl, also auch eine bereits eingetragene Klamm-ID, gewählt werden kann.
Schon beim Anmelden sollte beim Nicknamen mindestens eine Nicht-Ziffer erzwungen werden.
Betroffene Login-Abfrage in /lib/session.lib.php:
SELECT k.uid,
k.passwort,
k.status,
k.hinweis
FROM ".$db_prefix."_userdaten u
LEFT JOIN ".$db_prefix."_kontodaten k
ON k.uid=u.uid
WHERE (u.uid='".$_POST['nickname']."' OR u.nickname='".$_POST['nickname']."')
AND k.passwort='".$md5($_POST['passwort'])."'
LIMIT 1
================================================== =================
Verbesserungsvorschlag:
Da rand() identische Zufallswerte bei identischen Startwerten erzeugt, sollte
rand() ersetzt werden durch mt_rand() in:
/lib/functions.lib.php
/af/content/login.php
================================================== =================
Vereinfachungsvorschlag:
in /content/intern/anmelden.php:
if($_POST['newsletter'] == 0 and $_POST['paidmails'] == 0) {
$mailstatus = 0;
}
if($_POST['newsletter'] == 1 and $_POST['paidmails'] == 0) {
$mailstatus = 1;
}
if($_POST['newsletter'] == 0 and $_POST['paidmails'] == 1) {
$mailstatus = 2;
}
if($_POST['newsletter'] == 1 and $_POST['paidmails'] == 1) {
$mailstatus = 3;
}
kann ersetzt werden durch:
$mailstatus = (int)$_POST['newsletter'] + (int)$_POST['paidmails']*2;
Prüfungen auf zulässige Werte sollten vorher erfolgen, damit gültiger $mailstatus gesetzt wird.
================================================== =================
So, das war's erstmal :)
NeoGriever
21.09.2013, 17:15
Das User-Kennwort-Problem wird behoben. Gut gesehen. Ich habs übersehen.
Die Sicherheitslücke wird von mir ausgemerzt.
Die Vereinfachung bau ich nicht mit hinein, da diese Variante hinlänglich bekannt ist und im VMS sowie im VMSR gleich bleiben soll. Dies dient der Addon-Kompatibilität. Daher möchte ich solche Sachen, die zwar offensichtlich sind, aber auch jedem bekannt, nicht unnötig umschreiben. Mag für manche unverständlich sein, aber das hat schon seinen Sinn.
Ich Zitiere mich jetzt einfach mal selbst. Was das Thema Passwort angeht.
wie wäre es mit einem workarround für die php 5.5 pasword api?
https://github.com/ircmaxell/password_compat
das als libary einbinden (deaktiviert sich bei installiertem php 5.5 selbstständig)
md5($password) mit password_hash bzw password_verify ersetzten
und fertig sind die sicheren Passwörter.
alles in allem ein Aufwand von max 1 Stunde
NeoGriever
23.09.2013, 12:35
Und alle ohne Php 5 werden weiterhin aufgrund von md5-hashtables ungesichert sein.
Das, was ich jetzt in v3 eingebaut habe, funktioniert auch mit PHP-Versionen VOR der 5.
:)
Schlumpfine
07.02.2014, 01:52
hab grad auch das problem mit dem adminforce bei der 3.0.0 ... komme plötzlich einfach nicht mehr rein. keine fehlermeldung, auf logout klicken bringt auch nix. gibts dafür schon ne lösung?
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.