Tom: scipt php erweitern

Beitrag lesen

SELF-Forum

scipt php erweitern

Tom
+3 Informationen zu den Bewertungsregeln

Hello Stefan,

habe mir ein script aus dem google kopiert,

das Script ist in seiner Machart mindestens fünf Jahre alt und weist diverse Schwachstellen auf.

könnt iht mir es erweitern, wäre echt toll von euch für die hilfe

Zuerst sollten wir Dir helfen, es zu verstehen, also genauer gesagt, zu verstehen, was der Autor eigentlich damit bezweckt haben könnte. Als Zweites könnten wir dann gemeinsam versuchen, diese Ziele mit einem neuen Script zu erreichen, dass möglichst keine Lücken und Schwachstellen mehr aufweist.

Anschließend könnten wir das neue Script dann auf Deine Bedürfnisse erweitern.

Bist Du damit einverstanden? Dann schildere bitte mal aus Deiner Sicht, was das gefundene Script bezwechen soll.

$name = $HTTP_POST_VARS['name'];
$email = $HTTP_POST_VARS['email'];
$message = $HTTP_POST_VARS['message'];

$HTTP_POST_VARS und Co. wurden schon unter PHP 4.x ersetzt gegen $_GET, $_POST, ... usw. und sind inzwischen abgeschafft. Außerdem greifst Du auf Paramter zu, ohne vorher geprüft zu haben, ob diese auch übertragen wurden.

if($submit)

Hier benutzt Du augenscheinlich das Feature "register_globals" (bitte danach googlen), das ebenfalls seit PHP 4.x auf der Abschussliste steht und meistens für Kummer gesorgt hat.

{
if(($email == "") || ($name == "") || ($message == ""))

Hier verlässt Du dich auf die automatische Typumwandlung von PHP, denn wenn z.B. $name aus $HTTP_POST_VARS['name'] nicht erstellt ewrden konnte, dann müsste es false enthalten.

$datei = fopen($dateiname, "r");

jetzt müsste zumindest geprüft werden, ob fopen() erfolgreich war

while (!feof($datei)) {
$x++;
$saved[$x] = fgets($datei, 1024);
}
$datum = date("d.m.Y");
$zeit = date("H:i");
$datei=fopen("gast.txt", "w");

Die Datei ist doch noch offen für das Lesen, oder? Da sollte jetzt die rote Lampe angehen. Im nebenläufigen Betrieb, den man bei Webapplikationen i.d.R. immer hat, kracht es hier eher früher als später. Lies Dir mal den Artikel von Christian durch:
http://aktuell.de.selfhtml.org/artikel/programmiertechnik/dateisperren/

usw., usw.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg

--
 ☻_
/▌
/ \ Nur selber lernen macht schlau
http://bergpost.annerschbarrich.de
Beitrag melden
+3
Informationen zu den Bewertungsregeln