Thread: Tester gesucht! - Script PHP MySQL Sicherheit und Funktion prüfen! CyDots

Hallo Community,

also ich brauche nun einmal paar erfahrene PHP mit MySQL Progger - bezüglich Sicherheit eines Scriptes. Dieses soll online für alle gestellt werden und dann in Betrieb genommen werden - allerdings muss es dazu ja voll funktionieren und auch gegen Hacker gewappnet sein.

Dabei handelt es sich um ein PHP Script, welches Dateien per FTP vom User-PC oder von einem anderen Server uploaded und dazu MySQL Datensätze anlegt. Diese Dateien können über eine PHP heruntergeladen werden wodurch widerum auch MySQL Einträge geändert werden.

Testinstallation: http://upload.daniel-winter.de/
Screenshots: http://web102.server18.ahloa.de/galerie/

Wäre sehr nett, wenn sich Leute melden würden, die sich da auskennen und vll. schon Verbesserungen haben. Wenn PHP-Code benötigt wird, kann dieser persönlich weitergegeben werden.

Danke

Hi

Ich kann mir das gerne mal anschauen!

Schreibst mir am besten per ICQ. Meine Nummer steht im Profil!

Grüße
Matthias

Hallo

ich schau auch mal nach... ICQ->PN

Bye, TimScheu

schick rüber, habe gerade nix zu tun als auf eine Antwort-PN zu warten!

Ich würde dir empfehlen, die Melde-Funktion zu verbessern, also mit nem Formular wo man dann den link der datei und noch den grund für das melden eingibt.
Ich glaube nicht, dass irgendjemand bock hat, diese "komische" email adresse zu kopieren und dann einen text zu schreiben.

Sonst find ich's gut!   


MfG pimpinNuP

1. Wenn man eine Datei hochläd, die nicht existiert wird trotzdem eine 0 Byte Datei hochgeladen.
2. Löschlink fehlt.
3. Man braucht die AGBs nicht zu akzeptieren.
4. Man kann keine Datei mit gleichem Namen uploaden.
5. Kleinere Sicherheitslücke: Ich schau mir grade deine PHPInfo an...
6. Wo sind eigentlich die AGBs geblieben?
7. Wie pimpinNuP schon sagte: Man sollte nicht aufs Impressum umgeleitet werden, wenn man sich eine Datei melden will.
8. Beim Uploaden einer Website wird nicht die korrekte Größe angegeben.
9. Ich hab mich geirrt, was die Sicherheitslücke angeht. Sie ist RIESIG! **
10. Benenn dein Loginscript um. Auf "admin.php" kommt JEDER!

Ansonsten: Cooler Service

**: http://### censored ###
Da sind alle Dateien drin gespeichert. Die Nummern Stimmen mit den DownloadURL Nummern überein.

-->Benutz htaccess, deine Verzeichnisse sind ungeschützt!
http://web102.server18.ahloa.de/

--> Dateien können nicht wieder gelöscht werden

--> Zugriff auf http://upload.daniel-winter.de/admin.php, PW wird per URL übertragen

http://web102.server18.ahloa.de/storage/49683 ^^
hostest du die eigentliche seite auf dem eigenen hoster?   
http://web102.server18.ahloa.de/storage/a.php
da könnt sich einer nen unschönen spaß draus machen...

Nein, URL Upload...



Wie? Kann keine PHP-Endung Hochladen -> Stammt aus früheren test.

nö geht.

die php dateien sind von mir ...

also a.php c.php t.php

und ich schätze über die schaut ihr euch gerade die phpinfo an oder?