VMS sehr unsicher! SICHERHEIT GEHT VOR!!!
1. Warum werden Fehlermeldung Teilweise mit @ unterdrückt und nicht z.b. per index.php z.b.
2.PHP-Code:if($_SESSION['admin'] == 1;)
{
error_reporting(-1);
}
else
{
error_reporting(0);
}
Warum werden $_GET nicht ausreichend gefiltert?
z.b. index.php
require ( './content'.$_GET['content'].'.php' );
Ich habe mir VMS ebend erst heruntergeladen und schon so ein mist gefunden :/, und sagt jetzt nicht das die script benutzer leicht haben sollen!
SICHERHEIT GEHT VOR!!!
Kein Bug verschoben nach Diskusionen
Zum Punkt 1
weils bisher so war wird aber in einer neuen version geändert werden bin ich auch nicht mit einverstanden eine unterdrückung von fehlermeldungen
sagt mir persönlich auch nicht zu.
zu Punkt 2
PHP-Code:$_GET['content'] = str_replace('.','',$_GET['content']);
$check = explode("../",$_GET['content']);
if (isset($check[1]) && $check[1]!='') {
echo 'Zugriff verweigert!';
exit;
}
Nenn doch einmal ein beispiel in dem dfas Get zu einer sicherheitslücke / gefahr führt...
SwissNetWorX - VMS Hosting / V-Server / Cloud-Server / Hosting
Berechtigungen
Zitieren