Komische URL -> SQL-Zugriff auf Admin

[p3e]

Nein, das Rewrite funktioniert nicht. Vielleicht Sollwerte man es so machen?

Code: [Auswählen]

RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)\.php/$
RewriteRule ^(.*)$ %1 [R=301,L]Kann gerade nicht testen.

[cYbercOsmOnauT]

Sowas ist genau mein Ding. Wo bekomme ich die Trunk-Version her? Habt ihr für die aktuelle und/oder die Dev-Version auch eine Crossreferenz irgendwo parat?

Grüße,
Tekin

[Tomcraft]

Die Entwicklerversion gibt es hier: https://trac.modified-shop.org/changeset/HEAD/trunk?old_path=%2F&format=zip

Grüße

Torsten

[cYbercOsmOnauT]

Danke!

Ich sehe gerade, dass ich das auf SF auch direkt mit "svn co" abrufen kann. Macht mir das Updaten einfacher.

[GTB]

Sowas ist genau mein Ding. [...]

was ist dein Ding ?

Gruss Gerhard

[cYbercOsmOnauT]

Eintauchen in Skripte. Fehleranalyse und Behebung derselben.

[GTB]

na dann mal los...

Gruss Gerhard

[cYbercOsmOnauT]

Ich werde mal unsortiert meine Gedanken aufschreiben die mir beim Sichten der categories.php aufkommen. Ich spreche von der Trunk-Version

Code: PHP  [Auswählen]

if (isset ($_POST['multi_status_on'])) {
        //set multi_categories status=on
        if (is_array($_POST['multi_categories'])) {
                foreach ($_POST['multi_categories'] AS $category_id) {
                        $catfunc->set_category_recursive($category_id, '1');
                }
        }
        //set multi_products status=on
        if (is_array($_POST['multi_products'])) {
                foreach ($_POST['multi_products'] AS $product_id) {
                        $catfunc->set_product_status($product_id, '1');
                }
        }
        xtc_redirect(xtc_href_link(FILENAME_CATEGORIES, 'cPath='.$_GET['cPath'].'&'.xtc_get_all_get_params(array ('cPath', 'action', 'pID', 'cID'))));
}

Die Kategorie- und Produkt-IDs sind Zahlenwerte und sollten somit bereinigt werden. Über

Code: PHP  [Auswählen]

foreach ($_POST['multi_categories'] AS $category_id) {

gehört z.B. ein

Code: CSS  [Auswählen]

$_POST['multi_categories'] = array_map('intval', $_POST['multi_categories']);

Dieses Sicherheitsproblem zieht sich weiter in die Methode set_category_recursive wo diese Werte wieder ungesäubert in eine SQL geschrieben werden.

Code: PHP  [Auswählen]

xtc_db_query("UPDATE ".TABLE_CATEGORIES." SET categories_status = '".$status."' WHERE categories_id = '".$categories_id."'");

Ich schreibe zudem in SQL's INTEGER Werte nicht mit Anführungsstrichen.

Fortsetzung folgt...

[cYbercOsmOnauT]

Ja ich weiß das die Superglobalen durch die Inputfilter gehen, aber ich bin in dieser Hinsicht etwas penibel.

[cYbercOsmOnauT]

Die PHP-Lösung für die categories.php wäre unterhalb von

Code: PHP  [Auswählen]

require_once (DIR_FS_INC.'xtc_wysiwyg.inc.php');

dies hier

Code: PHP  [Auswählen]

// Correction of the pageview
if (empty($_SERVER['QUERY_STRING'])) {
        // only if there are no query values
        if (preg_match('/\.php\//', $_SERVER['REQUEST_URI'])) {
                // Redirect to the real link
                header("Location: {$_SERVER['SCRIPT_NAME']}");
                exit(0);
        }
}

reinzusetzen. Ich hab es extra so gehalten das es in allen Skripten funktioniert. Leider sind meine mod_rewrite-Kenntnisse etwas eingerostet und deswegen bekomm ich das nicht mit einer RewriteRule hin. Wer mag, kann es umsetzen. Oder Ihr macht daraus eine function und ruft diese im Kopfbereich der Scripte auf. As you wish my lord.

[p3e]

[...]
Fortsetzung folgt...

Super, hast Du noch mehr solche Stellen gefunden?

wieso eigentlich

[...]

Code: PHP  [Auswählen]

// Correction of the pageview
if (empty($_SERVER['QUERY_STRING'])) {
...
...
}

[...]

? Sollte doch auch bei vorhandenem QUERY_STRING ersetzt werden. Mir fällt keine sinnvolle URL ein, wo nach einem .php noch ein / stehen sollte.

[cYbercOsmOnauT]

Ich bin nur nach dem gegangen was als Link im ersten Post steht. Das Problem hierbei ist nicht PHP sondern die Browser. Beispielsweise steht im Seitenquelltext

Code: Javascript  [Auswählen]

<link rel="stylesheet" type="text/css" href="includes/stylesheet.css">

Der Link lautet "http://www.shop.de/admin/configuration.php/login". Apache hört bei configuration.php auf tiefer in die Verzeichnisse zu gehen. Der Browser jedoch glaubt er sei im Verzeichnis configuration.php und würde da eine Datei namens login aufrufen. Die CSS vom Beispiel wird demnach nicht relativ zum Verzeichnis admin geladen, sondern relativ zum Verzeichnis configuration.php. Das bedeutet, diese CSS wird vom Browser über den Link "http://www.shop.de/admin/configuration.php/includes/stylesheet.css" abgerufen. Apache liefert hier wieder die Ausgabe von configuration.php welches natürlich keinen gültigen CSS beinhaltet (gleiches gilt für alle anderen relativen Links zu JS, Grafiken, usw.). Dies führt dazu das die Seite ohne Styles, Grafiken und JavaScripts angezeigt wird.

Achja.. warum ich erst prüfe ob es keinen QUERY_STRING gibt. Sobald nach configuration.php ein ? folgt ist das was danach kommt nicht mehr relevant für das Problem, denn dann weiß selbst der Browser das mögliche Slashes nicht bedeuten, das man tiefer im Verzeichnis geht, sondern dies zu einer Queryvariable gehört. Kann man eigentlich auch weglassen, da die if danach sowieso prüft ob beim Aufruf nach .php ein / folgt, aber doppelt gemoppelt hält besser.

[p3e]

Tekin, die Idee das so in PHP zu lösen finde ich super. Bin aber trotzdem für das weglassen der ersten IF-Abfrage.
Ich bin mir nicht sicher, ob ein Link wie "http://www.shop.de/admin/configuration.php/login?abc=efg" vom Apache nicht auch als gültiger QUERY_STRING angesehen wird.
Habe gerade getestet: Im ["QUERY_STRING"]steht dann abc=efg - sollte man also weglassen.
Also so:

Code: PHP  [Auswählen]

if (preg_match('/\.php\//', $_SERVER['REQUEST_URI'])) {
        // Redirect to the real link
        header("Location: {$_SERVER['SCRIPT_NAME']}");
        exit(0);
    }

Dann lässt sich das nicht durch ein QUERY_STRING umgehen.

[cYbercOsmOnauT]

Super, hast Du noch mehr solche Stellen gefunden?

Immer wenn ich mal Zeit finde, kann ich gerne das eine oder andere Skript durchsehen. Aber Arbeit geht vor. Die Familie will schließlich satt werden.