Sicherheitsupgrade

nonano · Beitrag von **nonano** » Mi 14. Jun 2006, 08:04

Vorsicht: Habe soeben gemerkt, dass die Variante oben eine Sicherheitslücke bietet. Man kann, wenn die chcounter-Statistik offen zugänglich sein sollte, über direkte Links in den editiermodus von Contenido geraten.

Um das zu vermeiden, sollte der output so aussehen:

Code: Alles auswählen

<?php
/***********************************************
* CONTENIDO MODUL - OUTPUT
*
* eases the implemantation of chcounter:
* http://www.christoph-bachner.net/chcounter
* June, 10.2006 :: jochen preusche
*
* remember to adjust the directory to chc
* optional changes: $visible
* requires chcounter (download-link see above)
*
*
* BASED ON
*================================================
*
*                      (Headline)  im Artikel ausgeben
* Author           :   Christa Tabara
* Copyright        :   Christa Tabara
* Created          :   14-07-2005
* Modified by HerrB:   22-07-2005
* Modified to implement chc: nonano: 06-10-2006
************************************************/


if (!$HTTP_GET_VARS['contenido']){
$db = new DB_Contenido;
$db->query("SELECT title FROM ".$cfg['tab']['art_lang']." WHERE idartlang = '".$idartlang."'");
$db->next_record();
echo "
";
$chCounter_page_title = $db->f("title");
// $chCounter_visible = 0;
include('../../statistik/counter.php');
}
?>

Falls jemand in der CHCounter-Statistik derartige direkten Links hat, kann ich nur empfehlen, die Seitenstatistik zu bereinigen.

edit: sorry, ich wollte das eigentlich in dem Thread chccounter posten ...
@ mods -- bitte verschieben, wenn möglich.

Beitrag von **emergence** » Mi 14. Jun 2006, 08:07

gehört wohl hier dazu -> http://contenido.org/forum/viewtopic.ph ... ght=#81843