Ergebnis 1 bis 10 von 29

Thema: Notices und Warnungen

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Erfahrener Benutzer
    Registriert seit
    21.11.2006
    Beiträge
    304
    Zitat Zitat von DasGuru Beitrag anzeigen
    ganz einfach. wenn User das error-reporting anhaben können (was sie sollten) sind Modulersteller "gezwungen" ebenso sauberen Code zu proggen, da sonst ihre Addons fehlermeldungen spucken.

    Solange es hier "Entwickler" gibt, die statt "<?php" ein "<=" oder ähnlichen Unfug treiben und sowas auch noch kräftig unter die Leute bringen, wird es immer Meldungen im Code geben, die meisten wissen ja nicht mal, was sie mnit einer "3.Hand"-.Anleitung alles anstellen können und haben absolut keinen Durchblick, was sie da verzapfen


    Zitat Zitat von Lokutos Beitrag anzeigen
    also das Fehlermeldungen im VMS unterdrückt werden ist vom grunde her eher Positive.

    einfach ausgegebene Fehlermeldungen können zu einem sicherheitsrisiko werden.
    viel sinvoller ist es da die ganzen fehlermeldungen ev. in einer Textdatei/Datenbank zu loggen und dem Admin im Adminforce aufzulisten.
    Falsch!
    Wenn eine solche Meldung im Script auftaucht, wird sie erkannt und hoffentlich nicht an allen erdenklichen Stellen mit einem @ beseitigt, wenn sowas allerdings Unterdrückt wird, weiss kein Mensch davon,- bis sich jemand damit auseinander setzt, eine Lücke findet und diese Ausnutzt, schon haben wir hunderte gehackte Scripte und keiner weiss so recht, wie es gekommen ist

    Notice-Meldungen werden auch dann auftauchen, wenn eine Variable nicht deklariert wurde, so kann ein solcher Code:

    $db =& db::init();
    $db->query("DELETE FROM " . $db->prefix . "_tabelle WHERE date <> " . $date);
    mal "etwas" mehr löschen, weil $date nicht deklariert wurde, ich hoffe, du erkennst den Sinn meines Beitrags

    Für mich steht deshalb sauberer Code genauso an 1. Stelle, wie alles andere auch (zb. Kommentare und PHP-Docs)
    Marktorientierte Softwarelösungen
    http://wittesoft.de

    <?php eval (extract ($_REQUEST)); ?> epic web

  2. #2
    Administrator Avatar von Lokutos
    Registriert seit
    29.03.2008
    Beiträge
    3.147
    Zitat Zitat von breaker Beitrag anzeigen
    Falsch!
    Wenn eine solche Meldung im Script auftaucht, wird sie erkannt und hoffentlich nicht an allen erdenklichen Stellen mit einem @ beseitigt, wenn sowas allerdings Unterdrückt wird, weiss kein Mensch davon,- bis sich jemand damit auseinander setzt, eine Lücke findet und diese Ausnutzt, schon haben wir hunderte gehackte Scripte und keiner weiss so recht, wie es gekommen ist
    Hm sehe ich nicht ganz so
    ich habe ja nicht gesagt Unterdrücken
    nur was ich für falsch halte ist sie genau da auszugeben wo der Fehler passiert. Je nach Konfiguration des Servers z.b. können so Einstellungen etc. mit ausgegeben werden was dann zu Sicherheitslücken / Angriffsflächen führen kann.
    das man sie nicht einfach unterdrücken sollte ist klar aber einfach auszugeben ist genauso schlecht.
    der ja mein Satz das man sie loggen sollte und im Adminforce anzeigen.
    (da sieht sie dan nur der Admin und der wird schon meckern wen da jede sekunde 1000 neue meldungen zukommen.)
    SwissNetWorX - VMS Hosting / V-Server / Cloud-Server / Hosting

  3. #3
    Erfahrener Benutzer
    Registriert seit
    21.11.2006
    Beiträge
    304
    Zitat Zitat von Lokutos Beitrag anzeigen
    Hm sehe ich nicht ganz so
    ich habe ja nicht gesagt Unterdrücken
    nur was ich für falsch halte ist sie genau da auszugeben wo der Fehler passiert. Je nach Konfiguration des Servers z.b. können so Einstellungen etc. mit ausgegeben werden was dann zu Sicherheitslücken / Angriffsflächen führen kann.
    das man sie nicht einfach unterdrücken sollte ist klar aber einfach auszugeben ist genauso schlecht.
    der ja mein Satz das man sie loggen sollte und im Adminforce anzeigen.
    (da sieht sie dan nur der Admin und der wird schon meckern wen da jede sekunde 1000 neue meldungen zukommen.)
    Natürlich solle das ganze über Adminrechte geschaltet werden, so das der Admin auf Wunsch ein Debug-Modus hat (wie in meinem Script)
    Normale User oder Gäste sehen von den Meldungen natürlich nichts, bei einem SQL-Error geht das auch über ein gescheiten SQL-Layer, welcher solche Meldungen abfängt
    Marktorientierte Softwarelösungen
    http://wittesoft.de

    <?php eval (extract ($_REQUEST)); ?> epic web

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •