[REL] SOM UCP

In 10 Minuten startet der nächtliche Backupvorgang! Es kann währenddessen (ca. 10 Minuten) zu Einschränkungen bei der Nutzung des Forums kommen
Weitere Infos findet ihr im Thema Backup des Forums
  • Hallo Breadfish-Community,


    hiermit möchte ich die neue User Control Panel Version vom Script SOM 0.5 Reallife veröffentlichen.
    Es gab/gibt eine alte Version vom UCP, da es jetzt ein großes Update gab und das alte UCP nicht mehr UpToDate ist, dachte ich mir das ich dies auf das neue Script anpasse.
    Hinweis: Dieser Control Panel ist auf das SOM 0.5 Script angepasst!


    Das neue UCP wurde mit Hilfe von Bootstrap aufgebaut.


    Folgendes wurde von mir neu entwickelt:

    • neue MySQL Version
    • Login Panel erneuert
    • Statistikseite hinzugefügt und sortiert + übersichtlich
    • Regeln werden nun sortiert angezeigt *
    • Account Information übersichtlicher gestaltet
    • ACP übersichtlich gestaltet & Funktionen neu geschrieben
    • Adminsystem integriert *
    • Styles hinzugefügt *


    Kurze Erklärung:


    Regel Seite:

    • Alle Regeln werden aufgelistet, alle Teammitglieder sehen unter der Regel einen "Titel".
      Dies ist dafür, wenn man eine Regel löschen möchte um dies besser zuordnen zu können

    Adminsystem integriert:

    • "Server Owner" hat die vollen Rechte. Alle Ränge unter dem "Server Manager" können keine News und Regeln löschen,
      Teammitglieder entlassen, Leader aus der Fraktion entlassen und auch keine Spieler manuell hinzufügen.
      Sollte jemand dies geändert haben kann sich gerne bei mir melden oder per PN ;)

    Styles:

    • Im "assets/css" Ordner findet ihr 3 weitere Ordner, diese beinhalten 3 Standartstyles.
      > standart Style = ist der normale Bootstrapstyle
      > style2 = heller Stil
      > style3 = dunkler Stil
      Zum Layout muss ich gesagt haben, dass dies sehr simple gehalten ist. Wer einen Hintergrundbild oder ähnliches haben möchte kann dies gerne einfügen.
      Ihr müsst lediglich im "panel.css" den Dateipfad einfügen...


    Es folgen noch zum Schluss paar Screenshots:
    (mit 2 Styles)


    vergleich zum alten:



    Screens vom neuen UCP: https://imgur.com/a/Wi4bm



    Ich wünsche euch viel Spaß damit ;)



    DOWNLOAD:
    http://www.mediafire.com/file/…jd3e5nt/som-ucp-v.0.5.rar


    oder vom Anhang:
    som-ucp-v.0.5.rar



    Zum Gamemode

    lostisword-signatur.jpg
    Visit me: LoSti's World

    2 Mal editiert, zuletzt von J0a9 () aus folgendem Grund: Livedemo entfernt, UCP als Anhang hochgeladen, neue Screenshot hinzugefügt

  • Beitrag von Marley2409 ()

    Dieser Beitrag wurde von Trooper[Y] gelöscht ().
  • Habe gerade das alte mit dem neuen verglichen und muss sagen, sehr schöne Arbeit.
    Dafür ein :thumbup: .

    Einmal editiert, zuletzt von require () aus folgendem Grund: #Handy

  • Moin,


    hab mir das 5min angeschaut sieht ansich ganz nett aus.
    Aber eins musst du dir ganz dringend angewöhnen und das heißt never ever Trust User Input.
    Pages sollten im Quellcode bekannt sein und z.B. per Switch Case verlinkt werden.


    Nur als Beispiel:

    PHP
    <?php
                    if(isset($_GET["page"])) $page = $_GET["page"];
                        else $page = "home";
                    if(file_exists('pages/'.$page.'.php'))
    				    include('pages/'.$page.'.php');
                    else include("pages/home.php");
    ?>


    Viele Grüße

  • Begründe mal warum man das bei Pages nicht haben soll? Finde da keinen Grund.

  • Begründe mal warum man das bei Pages nicht haben soll? Finde da keinen Grund.

    Weil du damit dem User die Möglichkeit gibst sich im Filesystem des Webspaces zu bewegen.
    Z.B.: http://livedemo.vare-design.de…e.php?page=/acp/post_news
    Folge davon, dass das Page System falsch abgesichert wurde.
    Klar ist sowas nur der Anfang und die Folge davon das ein Fehler unter Post News vorhanden ist, aber solche Stellen sind der Anfang vom Ende.


    User Input nicht zu vertrauen ist eine Grundsatzregel in der Webentwicklung gegen welche man nicht verstoßen sollte.


    Bitte meinen Originalpost nochmal anschauen, hatte nicht den kompletten Codeschnipsel in der Zwischenablage.

  • Beitrag von Faceofdeath ()

    Dieser Beitrag wurde von Trooper[Y] gelöscht ().
  • Weil du damit dem User die Möglichkeit gibst sich im Filesystem des Webspaces zu bewegen.
    Z.B.: livedemo.vare-design.de/som-ucp/home.php?page=/acp/post_news

    Nur soweit es der Code zulässt, da du da sowieso mit dem Adminaccount hinkommst ist das keine Sicherheitslücke oder was wo man unbedingt verhindern sollte. Mit dem normalen User bringt dir der Link nichts's. Er leitet alle auf die Startseite um die keinen Zugang haben dürfen.

  • ersteinmal vielen Dank, ich hab mirs nochmal angeschaut aber wenn ich deinen neuen Code mit meinem "alten" vergleiche hab ich grad keinen Unterschied gefunden.
    In dem Fall wäre das kein großer Fehler, ich habe einfach die Funktion die bei acp.php und home.php war auf jeder Adminseite kurz eingebunden ( getAdminrang(); ), getestet und man kommt dann auch nicht mehr auf die Seite...
    Wie m4a_x schon erwähnt hat ^^



    Habe die ZIP-Datei nochmal mit der kleinen Verbesserung hochgeladen.

  • Eine Sicherheitslücke kommt selten alleine und das ist definitiv eine :)

    Zitat

    Test
    testangekündigt von Demo am 15.11.2016

    Ich hab meine Hinweise und Worte dazu gesagt, was ihr damit macht ist eure Sache.
    Da ich beruflich Entwickler bin, weiß ich wovon ich spreche.
    Ich wollte / will hier auch niemanden Angreifen sondern nur aufzeigen welche Risiken es hat User Input direkt im Code zu verwenden.


    Zumal man durch ein Switch Case z.B. direkt auch die Rechteverwaltung zentral an einer Stelle abfackeln kann und es nicht in jeder Datei neu machen muss.

  • Finde ich super danke.
    Werde ich mit der Version 0.6 mit einfügen.
    Top

  • do.de - Domain-Offensive - Domains für alle und zu super Preisen