Seite 1 von 2 1 2 LetzteLetzte
Ergebnis 1 bis 10 von 12

Thema: Code in den Plugins suchen

  1. Kategorie
    Entwicklung
    Typ
    Add-On
    Version
    1.1.1
    Lizenz
    Benutzerdefiniert
    Veröffentlicht
    02.02.2009
    Aktualisiert
    24.09.2010
    Downloads
    42
    Installationen
    15
    Bewertung: (4 Stimmen, 4,25 durchschnittlich)
    Kompatible vBulletin-Versionen
    vBulletin 3.7: Alle Versionen
    vBulletin 3.8: 3.8.0-3.8.6
    vBulletin 4.0: 4.0.0-4.0.6
    • Dateiänderungen erforderlich
    • Dateizugriff erforderlich
    Dieses Add-on ermöglicht es, die Plugins direkt aus dem ACP heraus, nach einem bestimmten Code zu durchsuchen.


    Changehistory:
    Adminberechtigungen werden nun beachtet.

    Lizenzvereinbarung

    Ihr könnt mit meinen Add-ons machen was ihr wollt.

    Meinen Code als Basis für eigene Add-ons verwenden, Code verändern und als eigenes Add-on verwenden, an beliebige vB Versionen anpassen und unter euren Namen veröffentlichen, das Add-on nehmen und das Klo herunterspielen, einfach alles

    Wäre nett, wenn man mich irgendwo als ursprünglichen Entwickler nennt, ist aber auch kein muss.

    Jetzt herunterladen

    Screenshots

    acp.png  

    Unterstützen Sie den Autor

    Geändert von ragtek (24.09.2010 um 09:04 Uhr)
  2. #2
    Registriert seit
    27.03.2008
    Ort
    Berlin
    Beiträge
    877

    Standard zwischenruf :D

    sei bitte so lieb und beachte basics in sachen mysql.

    1. vBulletin Manual, Code Standard: SQL Query Syntax ("Always double-quote SQL queries, even if they contain no dynamic text.")

    2. der suchstring gehört escaped (hier sind sql-injections möglich)!

    schlimm:
    Code:
    Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.
    
    Bitte öffnen Sie den Kundenbereich, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
    bitte so:
    Code:
    Der Inhalt dieses Abschnitts ist nur für Lizenznehmer sichtbar, Sie werden derzeit jedoch nicht als Lizenzinhaber erkannt.
    
    Bitte öffnen Sie den Kundenbereich, tragen Sie Ihre E-Mail-Adresse ein, mit der Sie sich hier registriert haben und aktivieren Sie die Lizenzüberprüfung für http://www.vbulletin-germany.org.
    beachte bitte auch, dass bei der verwendung von LIKE platzhalter möglich sind, die ebenfalls escaped werden sollten, damit die suchergebnisse nicht verfälscht werden (% -> \% und _ -> \_).
    Geändert von AA_ (02.02.2009 um 16:10 Uhr)

  3. #3
    Registriert seit
    02.09.2006
    Ort
    Austria (Vienna) , Croatia
    Beiträge
    3.974
    vBulletin-Version
    4.0.7

    Standard

    Zitat Zitat von AA_ Beitrag anzeigen
    beachte bitte auch, dass bei der verwendung von LIKE platzhalter möglich sind, die ebenfalls escaped werden sollten, damit die suchergebnisse nicht verfälscht werden (% -> \% und _ -> \_).
    Danke für den Hinweis.

    Add-on wurde schon überarbeitet.
    Geändert von ragtek (02.02.2009 um 19:45 Uhr)

  4. #4
    Registriert seit
    22.09.2006
    Ort
    Bonn
    Beiträge
    1.617
    vBulletin-Version
    3.7.2

    Standard

    Die vB Database Klasse bietet dafür doch extra die Funktion escape_string_like an

  5. #5
    Registriert seit
    02.09.2006
    Ort
    Austria (Vienna) , Croatia
    Beiträge
    3.974
    vBulletin-Version
    4.0.7

    Standard

    Ja, wird nun benutzt

    Das mit den Platzhaltern ist mir komplett neu, deswegn wurde es in der 1. Version nicht verwendet/beachtet.
    Und bezüglich
    2. der suchstring gehört escaped (hier sind sql-injections möglich)!
    Wenn jemand zugriff aufs Plugin-System hat, kann er sowieso anstellen was er will, daher seh ichs nicht wirklich so problematisch im ACP, ABER wurde natürlich auch umgesetzt.
    Geändert von ragtek (02.02.2009 um 23:37 Uhr)

  6. #6
    Registriert seit
    27.03.2008
    Ort
    Berlin
    Beiträge
    877

    Standard

    Zitat Zitat von ragtek Beitrag anzeigen
    (…)
    Wenn jemand zugriff aufs Plugin-System hat, kann er sowieso anstellen was er will, daher seh ichs nicht wirklich so problematisch im ACP, ABER wurde natürlich auch umgesetzt.
    hm da hast du aber einen denk- und einstellungsfehler und zwar gewaltig.

    jeder normale anwender - der sich nicht den quellcode der software vor der benutzung ansieht - geht davon aus, dass der programmierer die nötige sorgfalt hat walten lassen. gerade bei einer suchmaschine, mit der man ausschiesslich quellcode sucht oder suchen soll, ist es nicht auszuschliessen, dass jemand kontrukte als suchbegriff eingibt, die aufgrund der fehlenden absicherung der eingabe u.U. schlimme folgen haben können.

    ich will mich hier nicht als add-on-polizei aufspielen, aber suchstrings nicht abzusichern mit so einer ausrede geht überhaupt nicht.

    ich weiss, dass du das nicht absichtlich machst und mit dem add-on anderen leuten eine hilfestellung geben willst
    nur würde es nicht schaden, sich den code nochmal vor veröffentlichung selbstkritisch anzusehen. soviel zeit muss sein

  7. #7
    Registriert seit
    02.09.2006
    Ort
    Austria (Vienna) , Croatia
    Beiträge
    3.974
    vBulletin-Version
    4.0.7

    Standard

    Autsch.

    Ja, habe nur an die "allgemeine" Sicherheit gedacht( Nur Leute reinlassen, die sowieso schon Zugriff haben.

    Ja theoretisch könnte man nach was falschem suchen, das div. Tabellen löscht, leert whatever. Wenn ich ehrlich bin, habe ich garnicht an das Szenario gedacht, aber ich schätze die Wahrscheindlichkeit wäre auch ziemlich klein.

    Auf jeden Fall danke für den Hinweis!

  8. #8
    Registriert seit
    30.08.2007
    Ort
    Aachen
    Beiträge
    59
    vBulletin-Version
    3.8.1

    Standard

    Hi Ragtek, es wäre schön wenn du dieses Plugin für vb4 upgraden könntest.
    Das hat mir unter vb3.x oft die Arbeit erleichtert.

  9. #9
    Registriert seit
    02.09.2006
    Ort
    Austria (Vienna) , Croatia
    Beiträge
    3.974
    vBulletin-Version
    4.0.7

    Standard

    Ehrlichgesagt wüsste ich nicht, wieso das nicht mit vB4 funktionieren sollte.

    Es hat sich ja weder im Pluginsystem noch im ACP etwas geändert.
    Hast du es ausprobiert, oder einfach so geschrieben, weil vB4 nicht bei den "Kompatiblen Versionen" steht?

  10. #10
    Registriert seit
    30.08.2007
    Ort
    Aachen
    Beiträge
    59
    vBulletin-Version
    3.8.1

    Standard

    Hi ragtek,

    nein ich habe es ausprobiert. Nach einem Update von 3.85 auf 4.07 ging es bei mir nicht mehr. Ich bekomme dann keine Ergebnisse und falsche Darstellungen.
    Ich werde aber mal versuchen es nochmal neu zu installieren denn so ein Ugrade kann komische Seiteneffekte haben ^^

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •