Nachdem ich entdeckt habe, dass in diesem Forum noch jemand über die genaue Funktionsweise der Fortschrittsbalkenanzeige über PHP etwas wissen möchte, gehe ich hier nochmal ergänzend zu den Erklärungen in dem Artikel über die Installation und Benutzung zur Fortschrittsbalkenanzeige ein.
Diese Beschreibung bezieht sich dann jedoch nicht nur auf den PHP-Datei Upload sondern auf jegliche Techniken, [...]
Seit dem 03.01.2008 gibt es eine neue Scriptaculous Version.
Scriptaculous steht jetzt in der Version script.aculo.us 1.8.1 zur Verfügung und behebt damit einige Bugs und hat neue Features und Änderungen bekommen.
Gemerkt habe ich es, als ich gestern den Internet Explorer 7 Test für diese Communty durchgeführt habe. Bei bestimmten stellen gab es Scripting-Fehler und der Internet [...]
Es soll ja manchmal vorkommen, dass man in PHP cURL per exec()-Methode aufrufen will.
Sei es, um eine Dateu herunterzuladen, diese weiterzuverarbeiten und anders formatiert wieder auszugeben.
Nicht zuletzt dann, wenn man die php-eigenen Funktionen nicht benutzen kann, weil es sich um https-Adressen handelt.
Hier probiert man dann auch mal so etwas:
<?php
$url = $_GET['url'];
exec(’curl ‘.escapeshellcmd($url));
?>
Aber genau das ist [...]
Um XSS und deren Gefahren zu verstehen, habe ich unter http://www.qaker.de/xss_examples ein paar Scripte abgelegt.
Die Scripte enthalten mögliche XSS-Szenarien. Also z.B. Get- oder Post-Variable ungefiltert auf der Seite ausgeben, Get-/Post-Variable ungesichert in einem Forumlar ausgeben sowie GET-/POST-Variable durch strip_tags() (PHP-Code) abgesichert versucht abzusichern.
In jeder der Dateien wird anhand von session_start() eine Session gestartet. Diese legt [...]
Sie scheinen reagiert zu haben. Zumindest die Lücke, die man findet ohne sich angemeldet zu haben, scheint geschlossen zu sein. Mal schauen ob Oliver Feedback bekommen hat und darüber schreibt.
Das freut mich schonmal. Weiter so!
OK, vegresst das alles wieder. Hatte den falschen Parameter angegeben und die Lücke ist nach wie vor da.
Also, weiterhin Abwarten.
Und an [...]
Oliver hat gestern Abend noch ein bisschen bei der besagten Seite weitergeforscht.
Er hat ein Szenario entdeckt, durch das mit der gefundenen XSS-Lücke ein Wurm gestartet werden kann, der schnell einen Großteil der Benutzer infizieren könnte.
Er leistet also gute Aufklärungsarbeit, denn manchen ist die Gefahr von XSS-Lücken auf Webseiten auf denen man sich anmelden kann und [...]
Wer kennt wen wird bei manchen Blogs schon als das nächste Super-Startup bezeichnet. Laut einiger Prognosen sollen sie in einem Jahr mehr Benutzer haben als studivz haben, eben weil sie keine bestimmte Zielgruppe, wie Studenten haben.
Aber ist das ein Grund, die gleichen Fehler zu machen?
Sicherlich gibt es einfachere Methoden , fertige Klassen oder ähnliches, um genau ein Datum auf Korrektheit zu prüfen.
Aber für genau das Datumsformat dd.mm.yyyy HH:ii kann man diesen Algorythmus einmal verwenden.
Beispiel Datumseingaben: 31.10.2007 17:00 oder 01.01.2008 01:03
Die Datumsvariable heißt in unserem Fall $my_date und es wird auf ein exakt gültiges Datum geprüft.
Natürlich könnte man sagen, der [...]
In dem Blog von Easywebtutorials werden Wordpress Templates angeboten, die suchmaschinenoptimiert sein sollen.
Aber vorsicht, zumindest am heutigen Tage und scheinbar auch zuvor (zumindest ist mir das bei einem Review des öfteren begegnet, habe ich Templates in diesem Theme gefunden, die für eine XSS-Attacke anfällig sind.
Die betreffende Stelle müßte sich in der sidebar bzw. im header [...]
Wer zufällig gerade ein paar zufällige, zwölfstellige Passwörter braucht, kann sich hier welche nehmen.
http://www.suchtwolke.de/password-generator/
Aber bitte nicht zu viele und noch ein paar übrig lassen
PS: Wirklich zufällig und ungespeichert.