Neues Modul / New module: mod_backup

Post custom hacks and enhancements for phpwcms here only. Maybe some of these things will be included in official release later.
pepe
Posts: 3954
Joined: Mon 19. Jan 2004, 13:46

Re: Neues Modul / New module: mod_backup

Post by pepe »

Na ja, flip-flop, sooo ganz viele user können das nicht sein, die hier rumschwirren... meist sind mehr bots an Bord als user ;-)
User avatar
Jensensen
Posts: 3000
Joined: Tue 17. Oct 2006, 21:11
Location: auf der mlauer

Re: Neues Modul / New module: mod_backup

Post by Jensensen »

jscholtysik wrote:[EDIT] Ah, jetzt verstehe ich: Du meinst die Passwörter direkt aus der phpwcms_user Tabelle, oder? [/EDIT]
[kleinlaut] ja, die bleiben wohl übrig.
jscholtysik wrote:Tut mir leid, aber verstehe ich immer noch nicht.
ähem, hatte irrtümlich die daten aus der conf im hinterkopf, die eben dort und nicht in der DB sind. mir tut's leid, sorry!
Hast/Habt Recht. Alles okidoki :|
{so_much} | Knick-Knack. | GitHub
Umlaute im URL sind meistens immer Kacke.
jscholtysik

Re: Neues Modul / New module: mod_backup

Post by jscholtysik »

Hi Jens,

nein, eigentlich nicht okidoki. Lies Dir mal diese Artikel auf Wikipedia durch:

http://de.wikipedia.org/wiki/Rainbow_Table

und

http://de.wikipedia.org/wiki/Salted_Hash

Dazu hat Stefan folgendes gefunden:

OG speichert die Passwörter in der Standard PHP-MD5-Methode, also ohne Salt mittels z.B. der Datei profile.updateaccount.inc.php...

Vielleicht sollten wir OG dazu mal befragen...


Joachim
User avatar
flip-flop
Moderator
Posts: 8178
Joined: Sat 21. May 2005, 21:25
Location: HAMM (Germany)
Contact:

Re: Neues Modul / New module: mod_backup

Post by flip-flop »

Das ist schon lange bekannt. Dazu muss jemand irgendwie an die DB kommen oder einfacher nur an die config, entweder durch cross side scripting auf dem Server selbst, FTP Zugang oder direkt über die shell.

Das ist nun der erste reguläre Fall, in dem es möglich wäre/war als User an die DB zu kommen.

In den meisten Fällen ist es wirklich einfacher die config zu vereinnahmen, wie bei fast allen System die serverseits laufen.

Knut
>> HowTo | DOCU | FAQ | TEMPLATES/DOCS << ( SITE )
User avatar
juergen
Moderator
Posts: 4556
Joined: Mon 10. Jan 2005, 18:10
Location: Weinheim
Contact:

Re: Neues Modul / New module: mod_backup

Post by juergen »

Da gibt es doch eine Variable die abcheckt ob der User ein Admin ist, wenn man die aussen drüberstülpt können nur admins an die DB.. wer admin ist darf eh alles... Das ganze in einem Cron wäre eh viel leckerer .. weil da kann man es nicht vergessen... *anmerk*
User avatar
Jensensen
Posts: 3000
Joined: Tue 17. Oct 2006, 21:11
Location: auf der mlauer

Re: Neues Modul / New module: mod_backup

Post by Jensensen »

auch gut!
aber 'n Cron-job ist nu ma nix für kleine shared web würstchen.
der stefan/jo wird's schon richten...

*end-anmerk*
{so_much} | Knick-Knack. | GitHub
Umlaute im URL sind meistens immer Kacke.
User avatar
juergen
Moderator
Posts: 4556
Joined: Mon 10. Jan 2005, 18:10
Location: Weinheim
Contact:

Re: Neues Modul / New module: mod_backup

Post by juergen »

jscholtysik

Re: Neues Modul / New module: mod_backup

Post by jscholtysik »

Hi Jürgen,


wenn, dann wollen wir das ja auch über das Modul steuern, und nicht über eine externe Lösung... ;-)


Joachim
User avatar
lindesbs
Posts: 80
Joined: Fri 18. Feb 2005, 19:13
Location: Oer-Erkenschwick, Germany
Contact:

Re: Neues Modul / New module: mod_backup

Post by lindesbs »

DF6IH wrote:Da gibt es doch eine Variable die abcheckt ob der User ein Admin ist,
Das ist im Code eine Konstante und nennt sich IS_ADMIN und es wird damit die Sessionvariable $_SESSION["wcs_user_admin"] abgefragt.
DF6IH wrote:wenn man die aussen drüberstülpt können nur admins an die DB.. wer admin ist darf eh alles...

einfach drueberstuelpen ist nicht so.
Ich weiss, das eine Userverwaltung wirklich SEHR aufwaendig ist. Die Verwaltung selbst ist pillepalle, aber die Faelle und Kontrollen einzubauen. Es ist ja nicht NUR Anzeige/nicht Anzeige. Es muessen ja auch Funktionen gesperrt werden.

Wenn OG wirklich die Userverwaltung mit reinbringt, ist das eine enorme aufwaendige Sache, die grossen Lobes bedingt.
kein Signatur mehr
User avatar
Jensensen
Posts: 3000
Joined: Tue 17. Oct 2006, 21:11
Location: auf der mlauer

Re: Neues Modul / New module: mod_backup

Post by Jensensen »

[x] shared web würstchen
Last edited by Jensensen on Sat 20. Sep 2008, 21:13, edited 1 time in total.
{so_much} | Knick-Knack. | GitHub
Umlaute im URL sind meistens immer Kacke.
User avatar
Jensensen
Posts: 3000
Joined: Tue 17. Oct 2006, 21:11
Location: auf der mlauer

Re: Neues Modul / New module: mod_backup

Post by Jensensen »

for this after-wow-now-we-have-user-role-
Jensensen wrote:phpwcms meets...
-int-guests-friends-party

i'd suggest a central european - central de --> location like --> münsterland
welcome!
{so_much} | Knick-Knack. | GitHub
Umlaute im URL sind meistens immer Kacke.
User avatar
juergen
Moderator
Posts: 4556
Joined: Mon 10. Jan 2005, 18:10
Location: Weinheim
Contact:

Re: Neues Modul / New module: mod_backup

Post by juergen »

wie im Hühnerstall .. hier :mrgreen:

Drüberstülpen = Modul gibt es nur für admin ... :idea: Ha? Licht an ?

Und den phpwcms cronjob, den will ich dann auch.. kann ich garnicht abwarten ;)
User avatar
markus s
Moderator
Posts: 654
Joined: Sat 16. Dec 2006, 19:21
Location: Radfeld / Tirol
Contact:

Re: Neues Modul / New module: mod_backup

Post by markus s »

belasst die diskussion dazu hier.
dem user zuliebe... der sich das tool einverleiben möchte.
grüße
moderator
propelled by fresh air from tirol
XING|FACEBOOK|OMENTO
User avatar
Oliver Georgi
Site Admin
Posts: 9906
Joined: Fri 3. Oct 2003, 22:22
Contact:

Re: Neues Modul / New module: mod_backup

Post by Oliver Georgi »

Ich gebe Euch mal eine kurzes Feedback zum Modul - insgesamt habe ich ca. 2 Minuten damit zugebracht - länger für das Schreiben dieses Posts.

Mein kurzes Fazit:

Liebe Entwickler,
beschäftigt Euch bitte noch mal intensiv mit dem Thema Sicherheit, Injections, Handhabung globaler Variablen, was passiert, wenn Variablen nicht definiert sind usw. Euer Script reißt Lücken in das Gesamtsystem, indem Ihr Euch an vielen Stellen über gängige Schutzmechanismen hinwegsetzt.

Beispiel getDump.php:

Code: Select all

if ($_GET["ID"]!="")
{
	CreateBackup($_GET["ID"],true);
}
- keine Prüfung der $_GET Variablen -> nehmen und mal eben 1:1 durchreichen

Code: Select all

	if (!defined('PHPWCMS_ROOT')) 
	{
		include_once ('../../../config/phpwcms/conf.inc.php');
		include_once ('../../../include/inc_lib/default.inc.php');
		include_once (PHPWCMS_ROOT.'/include/inc_lib/dbcon.inc.php');
		include_once (PHPWCMS_ROOT.'/include/inc_lib/general.inc.php');
	}
- Hier umgeht ihr mal eben die komplette Prüfung!

Code: Select all

global $_GET;
- $_GET ist eine sogenannte Superglobale = immer Global!
- http://www.php.net/manual/de/language.v ... lobals.php

Desweiteren geht Ihr in keiner Weise auf unterschiedliche Charsets/MySQL Versionen usw. ein.

Ich habe da noch eine settings.txt gefunden, mit allen schönen Werten, die ich zum Betrieb brauche und die kann ich einfach so vom Webserver abfragen. Ohne Schutz.

Den Rest schau ich mir nicht weiter an.

@Joachim
Sorry für meine "Arroganz" Joachim. Aber dieses Modul ist mir Bestätigung genug.


Ich rate dringend vom Einsatz auch zu Testzwecken ab!


Oliver
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
User avatar
lindesbs
Posts: 80
Joined: Fri 18. Feb 2005, 19:13
Location: Oer-Erkenschwick, Germany
Contact:

Re: Neues Modul / New module: mod_backup

Post by lindesbs »

Aufgrund diverser Gruende, werde ich mit phpwcms in der Nutzung und Entwicklung aufhoeren und nach einer Alternative suchen.

Eine erste Vorstellung eines Moduls hat immer Probleme. OG weiss doch garnicht, was ich hier auf meinem Rechner noch gerade entwickle. Das dieses Modul auch Luecken aufreisst, ist mir klar.
Es war aber die erste Moeglichkeit der Community zu geben, wonach sie verlangt.
Auch phpwcms war nicht nach dem ersten Release fehlerfrei. Auch das CMS ist gewachsen und verbessert worde. Ich erinner mich noch an einen Artikel im ct NewsTicker http://www.heise.de/newsticker/Luecken- ... dung/72253

Die Kommentare waren nicht gut. Aber das ist normal. Sowas kann passieren.

Mein Ansatz als Programmierer war nicht, von Anfang an ein perfektes Modul hinzulegen. Das war und ist ein Communitymodul, an dem ALLE ihre Ideen und Wuensche einfliessen lassen koennen.

Ich werde jedenfalls aufgrund der Antwort von OG meine Entscheidungen faellen, und nicht mehr weiterentwickeln.
Wenn ich ein adaequates System gefunden habe, wende ich mich dem zu.

Schade, hatte ich nicht so erwartet.
Es wird offensichtlich nicht gewuenscht, das die Community sich hilft und versucht, das System nutzbarer zu gestalten.

Ich wuensche Euch trotzdem noch viel Spass und Erfolg mit dem System

Stefan aka lindesbs
kein Signatur mehr
Post Reply