MyControlPanel :: UCP für SA:MP, alles individuell und dynamisch einstellbar, keine Programmierkenntnisse nötig, integrierte Datenbankanpassung

Moment mal

Zitat:
Das läuft nur über Dini, in der Webentwicklung wird heutzutage wohl eher nicht auf sowas wie Dini zurückgegriffen sorry

Macht kein Sinn :DDDD
Da steht das läuft nur über Dini und dann wird net benutzt wasn nun? XDDD

Zitat von Finch

Das läuft nur über Dini, in der Webentwicklung wird heutzutage wohl eher nicht auf sowas wie Dini zurückgegriffen sorry

Mindfuck alert !!??

nun Ja oder Nein ?

Er meinte es läuft nur auf MySQL.
MfG

Zitat von Finch

Das läuft nur über Dini, in der Webentwicklung wird heutzutage wohl eher nicht auf sowas wie Dini zurückgegriffen sorry

Whaat du speicherst über Dini in PHP?

Kann man auch die Leader sowie Admin funktionen Testen?

Okay Finch Das Script wird gerade auf MQSql umgeschrieben!
Ich würde eins für 20 Euro kaufen!

will auch eins

Würde ebenfalls für 20€ eins kaufen

Ich habe das UCP auch gekauft und muss sagen, ich bin sehr zufrieden damit

Als Admin kann man alles einstellen, sodass es ganz einfach war, das CP ins Script zu integrieren. So habe ich mir die Arbeit dafür erspart^^

Ich habe mir das "User Control Panel" angesehen und nach kurzer Zeit einige Fehler entdeckt. Einer davon ist eine mögliche MySQL Injection, welche in ein Kostenpflichtiges UCP nicht hinein gehört und ich weitere MySQL-Injection Möglichkeiten nicht ausschließen.

Mängel:

• Weiterleitungen
  Als erstes sind mir die Redirects aufgefallen, welche die wahren Links mit den GET Parametern verstecken. Die GET Parameter werden wahrscheinlich zwischengespeichert und anschließend nach der Weiterleitung wieder abgerufen. Diese erlauben jedoch keine Direktlinks auf Parameter basierten Content z.B. auf eine bestimmte Beschwerde. (Vor- / Nachteil)
  

  
  

  

  
  

• MySQL Injection
  Die von mir als versteckt bezeichneten Links, welche die "wahren" GET Parametern beinhalten werden nicht gefiltert. Dies führt dazu, dass MySQL Injection in einem gewissen maß möglich ist.
  

  
  

  

  
  

• Javascript Error
  Es gibt einen Javascript Fehler, dass "$" nicht definiert sei. Da frage ich mich dann, ist diese defekte Funktion nötig?
  

  
  

  
  

Trotz der Mängel hat das UCP sehr umfangreiche Funktionen und Features!
Ein Sicherheitsupdate würde dem UCP mehr vertrauen verleihen.

xyShadowyx

Das ucp ist zwar recht simpel jedoch einfach zu verstehen und zu bearbeiten. Auch die MySQL Konfiguration ist sehr einfach und mit einer anderen Datenbank abzugleichen

Guten Tag,

das Angebot hört sich ja sehr Interessant an, aber gibt es auch Möglichkeiten dann Code schnipsel zu ändern oder hast du den PHP code "gehasht / verschlüsselt" ... Ich kann zwar auch Programmieren aber ich kann immer kleine Hilfestellungen gebrauchen im Bereich "Sicherheit". Ich denke mal mit MySQL Injections ist gemeint das man beim Login fenster keine CSS / HTML / MySQL befehle eingeben kann, so verstehe ich das zu mindest, wenn es falsch ist bitte mich korrigieren. Ich habe 20€ aber ich bin mir noch unsicher da ich ja momentan auch ein eigenes UCP was nur für mein Projekt sein soll Programmiere und ich glaube nicht so Sicherheit drin habe.

Ich bitte um Rückmeldung.

Mit freundlichen Grüßen
DjKiller

Ich habe noch eine Sicherheitslücke gefunden; die Fraktions-ID wird bei Fraktionsbewerbungen nicht gefiltert. Man kann also Bewerbungen an Fraktionen schicken, die nicht existieren.

Bei deaktivierten Javascript funktioniert der Login nicht. Da sollte dann zumindest ein Hinweis stehen, dass man JS aktivieren soll - denn dank der schwachsinnigen Medien-Kampagne "installiert NoScript, schützt euren PC" surfen viele Leute leider ohne JS.
Entsprechende Tags sind <noscript></noscript>

Auf dem Tablet eines Kollegens greift die mobile Version noch nicht, es glitcht sich also alles ineinander.
Höhe kann ich nicht sagen, da oben die Leiste und unten die Toolbars sind; Breite ist aber 760px.
#mustead-brand liegt über den Text, der zum Login auffordert. Die Navigation ist ganz hinten, bei den Elementen sind also die Eigenschaft z-index falsch gesetzt.
Zudem nimmt die Navigation die Hälfte des Bildschirmes ein, was ein Bedienen unmöglich macht.

Auf dem Smartphone läuft dagegen alles flüssig. Ich denke also mal, dass die media-querys etwas zu niedrig gewählt sind

Edit: Ich habe zudem noch was gefunden; ihr habt die selbe Sicherheitslücke wie iCloud. Man kann bei euch unbegrenzt viele Loginanfragen pro Sekunde senden und alle werden beantwortet...

@DjKiller: SQL-Injections sind nur MySQL.
HTML-Code "einfügen" ist XSS, PHP-Code einfügen ist LFI/RFI