Kleine Frage zu den POSt und GET anpassungen des 2.0.23

Allgemeiner Support zum phpBB 2 Board und phpBB 2 Modifikationen
Forumsregeln
Auch wenn hier der Support für phpBB 2 weiterhin aufrecht erhalten bleibt, weisen wir darauf hin, dass das phpBB 2 nicht mehr offiziell unterstützt und weiterentwickelt wird!
Antworten
schmidtedv
Beiträge: 607
Registriert: So 13.Feb, 2005 10:46
Wohnort: St. Blasien (seit 01.06)
Kontaktdaten:

Kleine Frage zu den POSt und GET anpassungen des 2.0.23

Beitrag von schmidtedv »

Kann ich eigentlich auch an anderer Stelle z.B.

Code: Alles auswählen

$submit = (isset($HTTP_POST_VARS['submit'])) ? TRUE : FALSE;
mit

Code: Alles auswählen

$submit = (isset($HTTP_POST_VARS['submit']) || isset($_POST['submit'])) ? true : false;
ersetzen, oder ist das ok aber sinnlos bzw. waren die phpBB-Änderungen nur an ganz bestimmter Stelle nötig?
Rettet den Wald, esst mehr Specht!

Forum [ sofern im Beitrag darauf verwiesen :-) ]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

phpBB 2 verwendet $_POST nicht, sondern nur $HTTP_POST_VARS, bzw. $HTTP_GET_VARS.
Ausser, es wird ebenfalls in der common.php umgestellt, was aber nicht zu empfehlen ist, da 99,99$ aller MODs dann wohl nicht mehr funktionieren würden.

Das was beim Update gemacht wurde, basiert auf eine Lücke in der Sicherheit, demnach die kurzen Variablen mit abgefragt wurden, um keine "bösen Überraschungen" zu erleben.
An allen anderen Stellen ist das aber unnötig.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Dungeonwatcher
Beiträge: 1055
Registriert: Sa 19.Feb, 2005 01:16
Wohnort: Berlin
Kontaktdaten:

Beitrag von Dungeonwatcher »

Moin! :cool:

[quote="oxpus";p="87034"]An allen anderen Stellen ist das aber unnötig.[/quote]

Aber auch nicht schädlich. Ich habe den Adminbereich vom Attachment Mod entsprechend geändert und er funktioniert auch weiterhin.

Bye
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Aber auch nicht schädlich.
Vorsicht! Die kurzen Variablen werden in der common.php NICHT geprüft und mit den einfachsten Sicherheitsprüfungen versehen, daher ist die Verwendung dieser Inhalte alles andere als sicher und auch schädlicher, wie ein vor längerer Zeit geschehener Hack auf phpbb.de beweist ;)
Daher aufpassen, welche Inhalte man verwendet und wie man die absichert!
Im phpBB 3 kann man z. B. mit $HTTP_POST_VARS garnichts anfangen, da die langen Super Globals hier komplett geleert werden. Und das hat auch seinen guten (sicherheitsrelevanten) Grund.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Antworten