Beiträge von R4Zz0R

Zitat von "philipp e."

Wir der Computer Clan!!! Was sonst, blöde Frage, blöde Antwort

Ok also ich denke mal das das aufgrund der nicht ereichbarkeit deiner seite eine berechtigte frage war......

Schonmal was von Freundlichkeit gehört ? Auch wir beantworten deine teils schon 100000fach gestellten fragen weitestegehend höflich also was soll das ?...

404 seite nicht gefunden also um wirklich jemanden zu finden der dir helfen soll sollte dein auftritt schon etwas glaubwürdiger sein. Zumindest sollte man sich einen überblick über das vorhandene projekt machen können, wenn du schon nichts konkretes dabeischreibst.

MFG
R4Zz0R

hmm ok ich hol mir die ip über getenv('REMOTE_ADDR') is da eig nen unterschied bei ? greift ja beides auf die ENV zu so weit ich weiß...

Ich hatte da diese idee.

<?php
session_start();
include_once('../include/config.inc.php');
include_once('../include/functions.inc.php');
//aktuelle microtime
$jetzt = time();
//username
$user = addslashes($_SESSION['user']);
//verbinden zur datenbak
condb($db);
//errorreporting fals verbindung fehlschlägt
error($report);




$sql = ("SELECT * FROM online_chat ");
if ($resultat = $db->query($sql)) {
  // Antwort der Datenbank in ein Objekt übergeben und
  // mithilfe der while-Schleife durchlaufen
  while($daten = $resultat->fetch_object() ){
    //ab hier ausgeben der spalten.
if ($daten->user == '') {
   $sql = ("INSERT INTO online_chat VALUES('','".$user."','".$jetzt."')");
        $db->query($sql);
                     echo $daten->user;




  } elseif ($jetzt <($daten->time+60*1)) {




       echo $daten->user;
       echo $daten->time;




       } elseif (($user == $daten->user) & ($jetzt != $daten->time)) {




                $sql1 = ("UPDATE online_chat SET time ='" . $jetzt ."' WHERE user ='".$user."' ");




                     if ($result = $db->query($sql1)) {




                     echo $daten->user ,'<br>';
                     echo $daten->time;




                     } else {




                     echo 'Fehler';




                     }




                }
   }
// Speicher freigeben
$resultat->close();
} else {
// Sollten keine Datensätze enthalten sein
exit;
}
// Verbindung zum Datenbankserver beenden
$db->close();
?>

In dem code waren (is schon ne weile her kommt aus meiner snippetsammlung) einige fehler die ich damals noch nich verstanden hatte aber so in der art liese sich das in mysql realiesieren

Also laut php.net nicht.

Es gibt scheinbar eine webapplikation mit namen ccdb aber die scheint eine klasse zum handeln von datenbanken zu sein.

Naja jedenfals es funktioniert einwandfrei xD
THX & MFG

R4Zz0R

Die umsetzung ist deine sache, wichtig dabei ist nur da du irgentwie einen weg findest einen zeitstempel anzulegen mit dem user zu verknüpfen,
und die daten dann abgleichst und nichtmehr benötigte datensätze zu löschen.

@ timtim
Eventuell sollten wir noch erwähnen wie man das einfach und sicher machen kann.

Möglichkeit 1:

<?php
$var = $_POST['var'];
$to_mysql = mysq_real_escape($var);
?>

An mysql übergibst du nun den $to_mysql.
Auserdem hier noch das Manual bei php.net
http://php.net/manual/de/funct…ql-real-escape-string.php

Es gibt aber auch noch.
Möglichkeit 2:

<?php
foreach ( $_POST as $var => $val )  {
    $_POST[$var] = addslashes($val );
}
?>

Bei dieser schleife werden alle über post übergebenen variablen durchlaufen und auf jeden inhalt die funktion addslashes(); ausgeführt,
nun kann man alle daten bequem wieder über $_POST['var'] verwenden.

Ansonsten rate ich dir, da wie timtim schon sagte:

Zitat von "timtim"

Man sollte sowiso davon ausgehen das jede eingabe eines user Potentiell Böse ist. Und so sollte es auch behandelt werden.

Wirklich auf nummer sicher zu gehen und auch darauf zu achten das du dich da absicherst, egal wie.
Da das bei einem echten angriff den verlust aller daten und den diebstal der userdaten zurfolge haben kann.

Ich hoffe ich konnte dir damit noch ein wenig helfen.

MFG
R4Zz0R

gern geschehen xD

Hat es denn funktioniert ?

Weil du auch für jedes update ind die datenbank auch eine anfrage (query) an den server machen musst

also:

$update = mysql_query($sql2);

Das muss unter jedem der beiden updates stehen dann sollte es gehen

MFG
R4Zz0R

Vorschlag zum login.

Leute ich bin am überlegen und am überlegen....

Session hijacking kann ja eigentlich nur dann passieren wenn:

1.) Der angreifer an die sessionid kommt (zb. durch link übergeben, trojaner auf dem clienten der den cookie liest ect..)
2.) Der angreifer einen link mit session id geschickt bekommen hat.
3.) Der programmierer einen fehler gemacht hat bei der verarbeitung der ihm bereitgestellten daten.

Nun kommen wir zu den schwarzsehern:
1.) Der angreifer es geschafft hat seine ip zur selben wie der des users dessen session geklaut werden soll zu machen ....
2.) Der angreifer hat es geschafft die seite so zu manipulieren das er in die aktuellen sessions einzugreifen kann
oder...oder...oder...

Jetzt stehe ich wieder vor der schweren frage welche daten soll ich nun auswerten und wie bekomme ich genügend flexibilität in das ganze das es problemlos auf alle funktionen eines eingeloggten users zugreift ohne dabei irgentwelche hijacking möglichkeiten zu bieten und ohne angriffsfläche für Cross side scripting oder andere angriffe...
Vorallem wäre es noch interresant was ihr gästen so erlaubt und was nicht und welche arten von überprüfungen ihr so benutzt.

Bisher habe ich einen mysql login relativ standart auswertung der clientdaten sind ip und browser des benutzers über session...
Keine cookies da die meisten user cookies aus haben.

Ich hoffe ihr versteht das ich mir nicht alles einschränken kann und will weil dann die usabillity doch ein wenig sinkt und die codes dann wieder übermäßig groß werden.
ein gutes mas zwischen sicherheit und usability bzw. codegröße und performance da ich das ganze später bei einem freehoster laufen lassen können will ohne deren server in die knie zu zwingen auch wenn das unrealistisch klingt scheinbar laufen auf den servern von space² ganz schön serverlastige seiten xD

Daher Hiiiilfe ich verlier den durchblick langsam vor möglichkeiten.

Zitat von "R4Zz0R Gestern im IRC"

Konstruktive vorschlaghämmer ?....

MFG
R4Zz0R

wenn es nicht funktioniert musst du dich halt mal nach einer datenbank im internet umsehen, die du auch mit deinen scripten von zuhause auch ereichen kannst.

Zumindest wenn das notwendig ist oder dud as vieleicht möchtest oder oder oder aber mal anders warumm (ich schätze einfach mal das du xampp benutzt zum localen testen der scripte) benutzt du nicht einfach den mysql server der im xampp paket vorhanden ist und bleibst bei localhost und legst sozusagen ein backup der datenbank an xDD

das hatte ich schon angemerkt keine verbindung zu den mysql servern aus dem internet nur von dem vom provider festgelegten intranet ....

oder er hat dir eine internetadresse zugewiesen mit der du dich verbinden kannst

kann es sein das deine zugangsdaten icht 100%tig stimmen ??? oder der name der datenbank nicht stimmt ?

das ist jedem selber überlassen auserdem kann man ja auch zusätzliche zeichen in der regex aufnehmen ist doch kein problem xD

Wie geagt ein beispielcode wie man es machen kann xD

MFG
R4Zz0R

Die umfräge lässt sich von mir leider nicht mehr umstellen ka warumm scheinbar fehlen berechtigungen xD ...
Und wenn ich da was übersehen habe einfch draufstubsen xD

Wer war der meinung das ich was anderes machen sollte und warumm ??
Will auch vorschläge und ideen für neues xD

MFG
R4Zz0r

Das kommt immer auf die einstellungen beim provider an entweder werden die ip/dns adressen des mysql server im intranet freigegeben oder aber über eine verbindung die dein provider dir gegeben hat.

Aber in den meisten fällen ist die adresse des mysql server immer localhost und es sind keine verbindungen aus dem internet erlaubt.

vorher hab ich einen fehler zurückbekommen das die verbindung fehlgeschlagen ist da er scheinbar nicht auf die konstanten zugreifen konnte

die $ in den if blöcken die gefehlt haben.

die hätten mir eigentlich nen error ausgeben müssen aber die funktion hat einwandfrei funktioniert auch ohne $ schon seltsam

Für den localen einsatz ist es sicher keine schlechte angelegenheit.
Aber online worde ich es dann doch ein wenig erweitern wenn du vorhast etwas in der richtung mal anzubieten.
Grafisch natürlich noch erweiterbar, aber schon gut gemacht.

MFG
R4Zz0R

*duck~>umdieeckelins*
Das chaos ist vorbei ? können wir aus unseren schutzbunkern rauskommen ?

Juhuuu