Ach bestimmt, aber ich denke mal ich werde es etwas weiter für mich bearbeiten, und dies dann auch nutzen, sowas hatte ich noch gesucht!
Kein Problem, Wenn du keine lust hast es zu bearbeiten sende mir einfach nen paar Vorschläge sowas wie Server Viewer wird dem nächst noch kommen etc..
Server Viewer mit einer Map, wo die Spieler drauf sind? Lol! Wenn du das wirklich bringst, bist du gut!
ich hab debian und ssh2 auch aber bei mir startet einfach der server nicht
datein werden aber alle angezeigt 
Habe mir mal die Veraenderungen angesehen und was ins Auge sticht ist:
[PHP] $sql = "SELECT ".
"* ".
"FROM ".
"Users ".
"WHERE ".
"(Username like '".$_REQUEST["username"]."') AND ".
"(Password = '".md5 ($_REQUEST["password"])."')";
$result = mysql_query ($sql);[/PHP]
Beim eingeloggten Admin ist es schon fast egal, dass dort ebenfalls eine Sicherheitsluecke ist, der ist Admin, der darf soviele SQL-Injections machen, wie er will, aber beim Login ist das schon eine andere Sache.
Dann ist mir noch aufgefallen, dass in:
[PHP] /* AdminPage */
elseif($_GET['mode'] == 'admin')[/PHP]
eine Ueberpruefung fehlt, ob der Nutzer ein admin ist. Das original script hat, wie mir gerade im Vergleich auffaellt, gar keine ueberpruefungen, ob der Nutzer berechtigt ist die Seite zu nutzen. Du muesstest das Script also auch an den Original-script teilen anpassen, oder, was noch einfacher ist, ein exit() in checkuser.php nach header("Location: index.php?mode=login") einfuegen. Das sollte das Problem beheben, da danach ContentCore() nicht mehr ausgefuehert werden kann, wenn die session nicht gesetzt ist und auch die login seite nicht aufgerufen wird.
Alles anzeigenHabe mir mal die Veraenderungen angesehen und was ins Auge sticht ist:
[PHP] $sql = "SELECT ".
"* ".
"FROM ".
"Users ".
"WHERE ".
"(Username like '".$_REQUEST["username"]."') AND ".
"(Password = '".md5 ($_REQUEST["password"])."')";
$result = mysql_query ($sql);[/PHP]
Beim eingeloggten Admin ist es schon fast egal, dass dort ebenfalls eine Sicherheitsluecke ist, der ist Admin, der darf soviele SQL-Injections machen, wie er will, aber beim Login ist das schon eine andere Sache.
Dann ist mir noch aufgefallen, dass in:
[PHP] /* AdminPage */
elseif($_GET['mode'] == 'admin')[/PHP]
eine Ueberpruefung fehlt, ob der Nutzer ein admin ist. Das original script hat, wie mir gerade im Vergleich auffaellt, gar keine ueberpruefungen, ob der Nutzer berechtigt ist die Seite zu nutzen. Du muesstest das Script also auch an den Original-script teilen anpassen, oder, was noch einfacher ist, ein exit() in checkuser.php nach header("Location: index.php?mode=login") einfuegen. Das sollte das Problem beheben, da danach ContentCore() nicht mehr ausgefuehert werden kann, wenn die session nicht gesetzt ist und auch die login seite nicht aufgerufen wird.
Dann ist mir noch aufgefallen, dass in:
[PHP] /* AdminPage */
elseif($_GET['mode'] == 'admin')[/PHP]
Du solltest dir das Script lieber genauer anschasuen und nicht nur drüberfligen damit ist die Server Admin Page gemeint sprich die Verwaltungs Seite (bzw. Später in der v1.3 auch die Console die Admin Page Hat ein anderen Mode: "index.php?mode=adminpanel" und dort drunter ist eine Abfrage ;D
ZitatAlles anzeigen
[PHP] $sql = "SELECT ".
"* ".
"FROM ".
"Users ".
"WHERE ".
"(Username like '".$_REQUEST["username"]."') AND ".
"(Password = '".md5 ($_REQUEST["password"])."')";
$result = mysql_query ($sql);[/PHP]
Beim
eingeloggten Admin ist es schon fast egal, dass dort ebenfalls eine
Sicherheitsluecke ist, der ist Admin, der darf soviele SQL-Injections
machen, wie er will, aber beim Login ist das schon eine andere Sache.
Sorry aber was meinst du damit ;C !?!
Edit://
Hier mal eine Kleine Liste was bereits in der Version v1.3_Beta verfügbar ist:
Geplant:
Dann ist mir noch aufgefallen, dass in:
[PHP] /* AdminPage */
elseif($_GET['mode'] == 'admin')[/PHP]
Du solltest dir das Script lieber genauer anschasuen und nicht nur drüberfligen damit ist die Server Admin Page gemeint sprich die Verwaltungs Seite (bzw. Später in der v1.3 auch die Console die Admin Page Hat ein anderen Mode: "index.php?mode=adminpanel" und dort drunter ist eine Abfrage ;D
D.h. du hast mit absicht den Code so gestaltet, dass jeder den mode = admin nutzen darf? Jeder darf also soviele Leute kicken/bannen, server neustarten, filterscripts laden/entladen und alle anderen RCON commands verwenden, wie er will?
Sorry aber was meinst du damit ;C !?!
Du fuegst direkt die vom Client ausgehenden Daten in die query ein. Ein geschickter Nutzer koennte das ausnutzen und dir einen netten Nutzernamen uebersenden, der z.B. deine Datenbank unbrauchbar macht. "(Username like '".mysql_real_escape_string($_POST['username']) sollte bereits ausreichend sein, um das zu verhindern.
Schöne Sache 
Aber würde es nicht eher als Tool hier rein kommen? http://forum.sa-mp.de/san-andr…ing-base/board7-showroom/ :o
Aber sonst schöne Sache
Schöne Sache
Aber würde es nicht eher als Tool hier rein kommen? http://forum.sa-mp.de/san-andreas-multiplayer/scripting-base/board7-showroom/ :o
Aber sonst schöne Sache
Ich lass eshier bei Smalltalk weil es noch lange nihct soweit vertig ist ;D
Edit://
Zitat
D.h. du hast mit absicht den Code so gestaltet, dass jeder den mode =
admin nutzen darf? Jeder darf also soviele Leute kicken/bannen, server
neustarten, filterscripts laden/entladen und alle anderen RCON commands
verwenden, wie er will?
Nein Schau dir den Code an man! Wenn man ausgeloggt ist und mode=admin macht wird man zurück auf die login page gewiesen und danke ich werde die login sichherheitslücke fixen...
Nein Schau dir den Code an man! Wenn man ausgeloggt ist und mode=admin macht wird man zurück auf die login page gewiesen
Ahja. Wenn ich die Augen zu mache, sind dann alle weg?
Probier doch einfach mal diesen code aus:
[PHP]<?php
header('Location: http://www.example.com');
$file = fopen( './thisFileMayNotExist.exists', 'a+' );
fwrite( $file, 'No it does not exist.' );
fclose( $file );
?>[/PHP]
warum für die user eine Tabelle sonst nichts wäre besser wenn man die in eine Datei macht und diese natürlich verschlüsselt finde es blöd nur wegen dieser kleinen Tabelle eine mysql machen muss nur so als keiner Tipp.
so und als Zusatz würde ich ein Server Installations Script einbauen.
Edit: Der Login sollte nach dem Login nicht mehr Angezeigt werden.
Warum ist beim eintragen vom Server das Passwort nur in md5 einzutragen ?
Rechte für die configuration.php werden bei mir falsch gesetzt
LG Scheffi
Ist doch logisch das jeder User auch bei seinem Server Spieler Kicken und Bannen Kann
Korrekt - bei SEINEM (eigenen) Server, aber doch nicht jeder Spieler bei jedem Server.
Ok man du bist echt ein bisschen verwirrt was das angehet isnstalliere es auf einem Apache und Teste es man kommt unter mode=admin nur auf seinem server wenn man nihct eingeloggt ist kommt man zum login panel!
Ok. Wenn man meint ich sei verwirrt, dann kann ich auch nicht helfen. Zumindest habe ich es versucht die Sicherheitsluecke zu erklaeren.
Falls man, doch noch den von mir gezeigten Code ausprobieren sollte und feststellen sollte, dass die Datei 'thisFileMayNotExist.exists' erstellt wird, trotz, dass eine Location-Redirection angewendet wird und was das fuer den mode=admin code bedeutet habe ich einen Problemloesungsvorschlag in meinem ersten Beitrag vorgestellt.
Hey ne frage was muss ich machen damit ich ein server drauf laufen lassen kann?
hab mir die aktulle SA:MP linux version runtergeladen.....auf dem vServer hochgeladen.
Das ControlPanel installiert bloß was muss hier hin?
Pfad:
Server_Exe Pfad:
Server_Ann Pfad:
Könnte mir jemand helfen?
Alles anzeigenHey ne frage was muss ich machen damit ich ein server drauf laufen lassen kann?
hab mir die aktulle SA:MP linux version runtergeladen.....auf dem vServer hochgeladen.
Das ControlPanel installiert bloß was muss hier hin?
Pfad:
Server_Exe Pfad:
Server_Ann Pfad:
Könnte mir jemand helfen?
isch verstehe auch nicht wie das geht.
isch verstehe auch nicht wie das geht.
Sind wir 2 bei den das nett geht.....kann mir und ihn jemand das erklären wie und was man alles machen muss?
1 Frage,
Wie Installiere ich es auf XAMPP Also auf Localhost,
Eher gesagt wie komme icn an die MySQL Daten ?
Benutzer, Passwort, und co ?
Danke Im Vorraus,
PS: will es Testen zum Bewerten 
Moin,
hab das Problem, dass das CP beim Klick auf beispielsweise "Start Server" ewig braucht,
scheinbar stimmt da was mit der SSH Verbindung nicht?
Hast du 'ne Idee, worans liegen könnte?
Viele Grüße
Basti
edit:
Scheinbar hängts nur beim Serverstart, der Rest klappt wohl (?)
Hi, ich bin neu hier und hab gerade das Interface gesehen.
Zwar hab ich auf meinem Server alles Installiert, aber mit SSH selber hab ich noch nicht gearbeitet, daher würde mich Interessieren was ich bei der Installation unter SSH eingeben muß, bzw wo ich diese Logindaten her bekomme.
Grüße
Firedragon
