Wäre nett *lach
Ich denk mal werden sicher paar Sicherheitslücken drin sein *g
Wäre nett *lach
Ich denk mal werden sicher paar Sicherheitslücken drin sein *g
Bin es mal überflogen und habe folgendes herrausgefunden :
Gute :
db_query , gut gesichert
Schlechte :
Fehler :Ich könnte jeden user bwz. jede uid eintragen die nicht exerstiert und somit die db total voll spammen .
Sicherung : Überprüfung der uid bwz des nicks ob vorhanden .
Fehler : wenn kein betreff eingetragen ist dann zerfetzt es zum teil .
Sicherung : Eine prüfung um zuschauen ob inhalt vorhanden ist und ob betreff eingetragen ist
Fehler : mit aktualisieren oder mit F5 kann ich nach der ersten pn so oft drücken wie ich will und so könnte ich in weniger minuten die DB total zu spammen und die seite im schlimmsten fall zum stillstand bringen .
Sicherung : nach pn versand sollte es weitergeleitet werden zu einer seite die nach F5 drücken sich nur die seite neu läd und nicht nochma die pn versendet wird .
Das waren die einzigen fehler die ich gefunden habe ich werde noch paar raussuchen .
MFG
adi
PS : 900 beitrag , es fehlen noch 100
Werde es noch mal überarbeiten, danke.
Bis dahin erst mal den Download entfernt, bis die Lücken zu sind.
Gern geschehen , ich such noch ob ich fehler finden kann
Edit : wie were es noch mit einen postausgang und einer begrenzung auf 200-300 pns max. ?
Hab es noch mal bearbeitet, kannst es dir noch einmal anschauen
Also :
Ich kann immer noch an uid 5 etwas senden obwohl userid 5 nicht vorhanden istFehler :Ich könnte jeden user bwz. jede uid eintragen die nicht exerstiert und somit die db total voll spammen .
Sicherung : Überprüfung der uid bwz des nicks ob vorhanden .
Jo das wurde behoben aber besser were es wenn es mit javascirpt sein würde weil so zerfetz es die seite und menue rechts ist auch wegFehler : wenn kein betreff eingetragen ist dann zerfetzt es zum teil .
Sicherung : Eine prüfung um zuschauen ob inhalt vorhanden ist und ob betreff eingetragen ist
Also das ist auch nun nicht mehr möglich .Fehler : mit aktualisieren oder mit F5 kann ich nach der ersten pn so oft drücken wie ich will und so könnte ich in weniger minuten die DB total zu spammen und die seite im schlimmsten fall zum stillstand bringen .
Sicherung : nach pn versand sollte es weitergeleitet werden zu einer seite die nach F5 drücken sich nur die seite neu läd und nicht nochma die pn versendet wird .
Du hast 2 von 3 fehler behoben .
MFG
adi
Kannst du mir sagen ob auch der DB Eintrag gemacht wird? Und sag mir doch mal bitte per PN wie du die ID 5 eintragen konntest.Zitat von adi
Nach den Fehlermeldungen zwecks Fehlender Betreff wird man nun zurück zur inbox geleitet.
MFG
Berechtigungen
Zitieren
