Suche

Das Problem ist, dass ich es nicht über PHP lösen kann. Es ist nur ein kleiner Webspace der mit einer Domain mitgeliefert wurde. Solange wie keinn Server laufen haben, nutzen wir diesen. Das heißt wir haben weder Zugriff auf den Server noch auf eine Skriptsprache.

Das File endet mit xhtml.

Ich denke nicht das ich es falsch installiert habe die Bilder werden ja eingelesen also hat er ja auch zugriff auf das Verzeichniss hab das eigentlich genauso wie bei Video2Brain gemacht nur gab es am Schluss halt keiner Bilder bei mir.

Ich hab mir auf meinen Lokalem PC mal dieses Komplettpaket installiert und da läuft alles, von daher vermute ich das es nen Server Bug ist so das mir irgend ein PHP Modul / Einstellung irgendwas in der Art fehlt. Könnte sich jemand vorstellen was das sein könnte?

Hier mal meine aktuelle PHP Config
http://www.st-bilder.de/45487451578564/php.php

Ich hätte da eine PHP-Klasse (Objektorientierte Programmierung), aber das ist wahrscheinlich viel zu kompliziert.

Daher will ich vielmehr die Theorie angehen:
Damit ein Benutzer eingeloggt bleiben kann, lege ich die Datenbank folgendermaßen an:


Das Auto-Login-Password ist eine ID, die später zusammen mit dem Nutzernamen in einem Cookie aufbewahrt wird, um das richtige Passwort auch bei Cookie-Diebstählen geheim zu halten. Bei jedem Login (auch bei Auto-Logins) ändert sich das Auto-Login-Passwort.

[h1]Normaler Login über Formular[/h1]
Du brauchst nun eine Funktion, die eine Session für den Nutzer anlegt, wenn dieser sich korrekt einloggt. Dazu prüfst du bei einem Login über das Formular, ob username + password so in der Tabelle vorkommen. Wenn das der Fall ist, kannst du die nötigen Cookie-Daten anlegen. Da reichen im Grunde folgende Werte:

Außerdem musst du in der Datenbank noch einen beliebigen Wert für die Auto-Login-ID eintragen, welche du dann auch als Cookie setzen musst.


[h1]Prüfen, ob Zugriff erlaubt[/h1]
Möchte ein Benutzer eine Seite öffnen, dann kannst du zuerst einmal prüfen, ob er überhaupt eingeloggt ist. Dies ist der Fall, wenn die Session für userid gesetzt ist und last_active nicht weiter zurückliegt als dein Sicherheitslimit. (z.B. 20 Minuten ohne Aktivität).

Diese Funktion zeigt dir dann an, ob der Benutzer eingeloggt ist.

[h1]Login über AutoLoginID[/h1]
Sollte er nicht eingeloggt sein, dann kannst du schauen, ob der Nutzer automatisch eingeloggt werden kann.



Wenn die Kombination vorkommt, dann kannst du einen normalen Login durchführen (vgl. oben beim Setzen der Cookies).

[h1]Abschließende Worte[/h1]
Ich hoffe, dass ich dir ein wenig weiterhelfen konnte. Sollten Fragen sein, nur zu. Bei theoretischen Themen helfe ich im Forum immer wieder gerne. :glad:


[h1]Änderung[/h1]
Da warst du ja schneller als ich mit deinem Edit.

Zu deiner Frage:
Das liegt daran, dass du keine Anführungszeichen in deinem SQL-Statement hast.
Es sieht praktisch nach Einsetzen der PHP-Variablen so aus:


Der MySQL-Interpreter denkt sich nun: "Wunderbar, ich schaue mal, ob ich eine Zeile in der Datenbank finde, wo die Spalte username den gleichen Inhalt hat wie die Spalte fdsgfds und die Spalte password den gleichen Inhalt wie die Spalte geheim."

Damit MySQL versteht, dass du keine Spalten meinst, sondern Texte, musst du Anführungszeichen herummachen, damit der Code nachher so aussieht:

Durch das Syntax-Highlighting erkennt man hier nun sehr schön den Unterschied. Im oberen Beispiel sind dein Nutzername und Passwort blau (MySQL erkennt es als Spalte) im unteren Beispiel rot (MySQL erkennt es als Zeichenkette).
password bietet hier eine Ausnahme, weil es auch eine spezielle MySQL-Bedeutung haben kann (als SET PASSWORD). Da aber kein SET davor steht, erkennt MySQL es trotzdem als Spalte an, auch wenn es hier grün markiert ist.

In PHP sieht das folgendermaßen aus:


Ich hoffe, man erkennt die einzelnen Anführungszeichen noch irgendwie :wink:

Hallo liebe Community!

Folgendes Problem: Für ein Projekt war ich nun gezwungen, einen Server aufzusetzen, der völlig autonom an einem x-beliebigen ort betrieben werden muss und dabei messungen durchführt und die daten in eine mysql datenbank schaufelt. Zum Ausgeben dieser Daten verwende ich php. Nun meine Frage: Könntet ihr vielleicht einen Blick auf eine Kopie der php-info werfen und mir sagen, ob ich was ganz grobes übersehen habe, was die Sicherheit massiv gefährdet? link zur kopie der phpinfo

Hab mich schon durch diverse Tutorials gequält, welche allerdings alle auf multi-user umgebungen und linux ausgelegt waren, beides ist bei meinem projekt nicht der fall. Wie gesagt: Auf den Server sollte theoretisch sowohl hardware als auch software-mäßig niemand zugriff haben außer mir. Und bezüglich der Tatsache, dass ich Windows als Hostsystem verwende möchte ich nur sagen:
a) nein, ich bin nicht verrückt :lol:
b) Das hat gewisse softwaretechnische Gründe, auf die ich jetzt nicht näher eingehen will. Es ist sowieso geplant, das ganze noch auf linux umzustellen, wozu mir bis jetzt allerdings die zeit gefehlt hat.

mfg

hast du SSH zugriff?

Was Passiert, wenn du im FTP Programm versuchts, die Rechte auf 777 zu stellen?

Ist php eingeschaltet und der Safemode aus? dann kannst du es mal mit exec("chmod 777 ordner") versuchen!

Edit://Mist, da war wer schneller :sad:

Hi,
ich hab ein Problem mit dem Ruhezustand. Ich benutz den immer weils einfach mal viel schneller ist (und ich nen Hotkey an der Tastatur hab ^^)
Nachdem der PC aus dem Ruhezustand wieder da ist geht alles normal außer dass ich MANCHMAL nicht ins Internet kann. "Manchmal" meint ca. 95% aller starts.
Mein PC ist über LAN mit ner Fritzbox verbunden (mit noch weiteren PCs im Heimnetzwerk)
Die Box ist dauerhaft im Inet. Auch die LAN-Verbindung steht nach dem "Aufwecken".
Aber ich hab keinen Zugriff aufs Internet (Browser: Timeout; ICQ: Keine Verbindung...)
Erst wenn ich die LAN-Verbindung deaktiviere und wieder aktiviere klappt alles wieder.

Hat da jemand ne Idee? Das nervt nämlich echt.

Meines Wissens nach hat JavaScript keinen Zugriff auf das Dateisystem des Nutzern (außer Cookies).

Aber ich finde diesen verlinkten Upload-Button schon daher schlecht, weil man das Feld mit dem Pfad zur ausgewählt Datei nicht mehr sieht. Man ist sich nie sicher, ob überhaupt etwas ausgewählt wurde und falls ja: Was? Klar, weiß man das normalerweise, aber irgendwie bin ich mir bei sowas immer unsicher und fühl mich dann wohl unwohl.

Einem spanischen Hacker soll es gelungen sein, mit Anwendungen auf Handys mit Symbian S60 als Betriebssystem, Zugriff auf alle Dateien des Ger&auml;tes zu erlangen. Dies meldete F-Secure in einem <a h[...]

Eine hoch kritische Schwachstelle in dem beliebten Instant Messenger ICQ erm&ouml;glicht Angreifern vollen Zugriff auf das Systeme.<br />
<br />
Schuld sind schon seit Mitte letzten Jahres <a href="[...]

Apple beseitigt mit einem Update f&uuml;r das iPhone und den iPod touch insgesamt drei Sicherheitsl&uuml;cken. Diese erlauben Angreifern unter Umst&auml;nden Zugriff auf das Ger&auml;t.<br />
<br />
[...]

Durch eine Sicherheitsl&uuml;cke in dem Betriebssystem FreeBSD k&ouml;nnen Angreifer eine Denial-of-Service-Attacke ausf&uuml;hren oder sich Zugriff auf das System verschaffen.<br />
<br />
Die Schw[...]

Eine hoch kritische Sicherheitsl&uuml;cke in vBGallery erm&ouml;glicht Angreifern System-Zugriff. Bei erfolgreichem Angriff l&auml;sst sich beliebiger PHP-Code auf den Server hochladen und ausf&uuml;h[...]

Erneut wurde in dem Medienwiedergabe-Programm VLC eine kritische Sicherheitsl&uuml;cke entdeckt, die Angreifern den Zugriff auf ein System erm&ouml;glicht.<br />
<br />
Durch die fehlerhafte Verarbe[...]

Ein Hacker hat es am Freitag geschafft in einen eBay-Server einzubrechen. Der Einbruch wurde jedoch schnell bemerkt und man konnte das schlimmste noch verhindern. Laut eBay ist kein permanenter Schaden entstanden. Weiterhin soll der Angreifer keinen Zugriff auf finanzielle oder sensitive Informationen gehabt haben.

Der Hacker hat es noch geschafft diverse Konten zu sperren. Diese hat eBay bereits entsperrt und kontaktiert jeden Anwender. Wieviele Konten dabei betroffen sind, verrät eBay jedoch nicht. Der Hacker drang auf den Server nicht durch eine speziell präparierte Webseite ein, sondern über nach außen sichtbare Server. Wie dieses passieren konnte, schweigt eBay.