Westie/Frankenstein Control Panel - Edit by Marvo v1.3 Beta 2

  • Server Viewer mit einer Map, wo die Spieler drauf sind? Lol! Wenn du das wirklich bringst, bist du gut!

  • Server Viewer mit einer Map -> Ohne Map halt sonstatus für die user Foren etc. Ich hätte zwart eine Idee für die Map wüsste aber nicht wie ich dieses LAGG Frei und ohne zu säzliches script machen soll... Wer mit da helfen kann bitte melden


    Edit:// Hab da mal was gefunden: http://samp.ae-webmedia.de/minimap/
    Aller Dings wie ich mir es gedacht hab mit nem extra script halt ;D

    Einmal editiert, zuletzt von Marvo ()

  • Habe mir mal die Veraenderungen angesehen und was ins Auge sticht ist:
    [PHP] $sql = "SELECT ".
    "* ".
    "FROM ".
    "Users ".
    "WHERE ".
    "(Username like '".$_REQUEST["username"]."') AND ".
    "(Password = '".md5 ($_REQUEST["password"])."')";
    $result = mysql_query ($sql);[/PHP]
    Beim eingeloggten Admin ist es schon fast egal, dass dort ebenfalls eine Sicherheitsluecke ist, der ist Admin, der darf soviele SQL-Injections machen, wie er will, aber beim Login ist das schon eine andere Sache.


    Dann ist mir noch aufgefallen, dass in:
    [PHP] /* AdminPage */
    elseif($_GET['mode'] == 'admin')[/PHP]
    eine Ueberpruefung fehlt, ob der Nutzer ein admin ist. Das original script hat, wie mir gerade im Vergleich auffaellt, gar keine ueberpruefungen, ob der Nutzer berechtigt ist die Seite zu nutzen. Du muesstest das Script also auch an den Original-script teilen anpassen, oder, was noch einfacher ist, ein exit() in checkuser.php nach header("Location: index.php?mode=login") einfuegen. Das sollte das Problem beheben, da danach ContentCore() nicht mehr ausgefuehert werden kann, wenn die session nicht gesetzt ist und auch die login seite nicht aufgerufen wird.

  • Dann ist mir noch aufgefallen, dass in:
    [PHP] /* AdminPage */
    elseif($_GET['mode'] == 'admin')[/PHP]


    Du solltest dir das Script lieber genauer anschasuen und nicht nur drüberfligen damit ist die Server Admin Page gemeint sprich die Verwaltungs Seite (bzw. Später in der v1.3 auch die Console die Admin Page Hat ein anderen Mode: "index.php?mode=adminpanel" und dort drunter ist eine Abfrage ;D

    Sorry aber was meinst du damit ;C !?!



    Edit://



    Hier mal eine Kleine Liste was bereits in der Version v1.3_Beta verfügbar ist:


    • Eine Server - Konsole in der man den Server verwalten kann
    • Bind Adresse wurde in das Admin Panel verschoben
    • Bug gefixt das bei der installation mal v1.1 und mal v1.2 angezeigt wurde ;D

    Geplant:

    • Eine Seite in der die Admins MySQL und FTP Daten angeben können
    • Eventuell Server Viewer ;D

    Einmal editiert, zuletzt von Marvo ()

  • Dann ist mir noch aufgefallen, dass in:
    [PHP] /* AdminPage */
    elseif($_GET['mode'] == 'admin')[/PHP]


    Du solltest dir das Script lieber genauer anschasuen und nicht nur drüberfligen damit ist die Server Admin Page gemeint sprich die Verwaltungs Seite (bzw. Später in der v1.3 auch die Console die Admin Page Hat ein anderen Mode: "index.php?mode=adminpanel" und dort drunter ist eine Abfrage ;D


    D.h. du hast mit absicht den Code so gestaltet, dass jeder den mode = admin nutzen darf? Jeder darf also soviele Leute kicken/bannen, server neustarten, filterscripts laden/entladen und alle anderen RCON commands verwenden, wie er will?

    Sorry aber was meinst du damit ;C !?!


    Du fuegst direkt die vom Client ausgehenden Daten in die query ein. Ein geschickter Nutzer koennte das ausnutzen und dir einen netten Nutzernamen uebersenden, der z.B. deine Datenbank unbrauchbar macht. "(Username like '".mysql_real_escape_string($_POST['username']) sollte bereits ausreichend sein, um das zu verhindern.

  • Schöne Sache :)
    Aber würde es nicht eher als Tool hier rein kommen? http://forum.sa-mp.de/san-andreas-multiplayer/scripting-base/board7-showroom/ :o


    Aber sonst schöne Sache


    Ich lass eshier bei Smalltalk weil es noch lange nihct soweit vertig ist ;D


    Edit://

    Zitat


    D.h. du hast mit absicht den Code so gestaltet, dass jeder den mode =
    admin nutzen darf? Jeder darf also soviele Leute kicken/bannen, server
    neustarten, filterscripts laden/entladen und alle anderen RCON commands
    verwenden, wie er will?

    Nein Schau dir den Code an man! Wenn man ausgeloggt ist und mode=admin macht wird man zurück auf die login page gewiesen und danke ich werde die login sichherheitslücke fixen...

  • Nein Schau dir den Code an man! Wenn man ausgeloggt ist und mode=admin macht wird man zurück auf die login page gewiesen


    Ahja. Wenn ich die Augen zu mache, sind dann alle weg?
    Probier doch einfach mal diesen code aus:
    [PHP]<?php
    header('Location: http://www.example.com');
    $file = fopen( './thisFileMayNotExist.exists', 'a+' );
    fwrite( $file, 'No it does not exist.' );
    fclose( $file );
    ?>[/PHP]

  • do.de - Domain-Offensive - Domains für alle und zu super Preisen
  • Ok man du bist echt ein bisschen verwirrt was das angehet isnstalliere es auf einem Apache und Teste es man kommt unter mode=admin nur auf seinem server wenn man nihct eingeloggt ist kommt man zum login panel! Ist doch logisch das jeder User auch bei seinem Server Spieler Kicken und Bannen Kann oder nicht dann wäre es ja nicht sein server wenn er das nicht dürfte aber sorry hast du überhaut eine Ahnung von CPs?

  • warum für die user eine Tabelle sonst nichts wäre besser wenn man die in eine Datei macht und diese natürlich verschlüsselt finde es blöd nur wegen dieser kleinen Tabelle eine mysql machen muss nur so als keiner Tipp.


    so und als Zusatz würde ich ein Server Installations Script einbauen.


    Edit: Der Login sollte nach dem Login nicht mehr Angezeigt werden.
    Warum ist beim eintragen vom Server das Passwort nur in md5 einzutragen ?
    Rechte für die configuration.php werden bei mir falsch gesetzt


    LG Scheffi


    In diesem Moment schlafen 6,3 Millionen Menschen, 18,9 Millionen essen, 2,2 Millionen machen Liebe und 1 Dummerchen ließt meine Signatur!



    Einmal editiert, zuletzt von Scheffi ()

  • Ist doch logisch das jeder User auch bei seinem Server Spieler Kicken und Bannen Kann


    Korrekt - bei SEINEM (eigenen) Server, aber doch nicht jeder Spieler bei jedem Server.


    Ok man du bist echt ein bisschen verwirrt was das angehet isnstalliere es auf einem Apache und Teste es man kommt unter mode=admin nur auf seinem server wenn man nihct eingeloggt ist kommt man zum login panel!


    Ok. Wenn man meint ich sei verwirrt, dann kann ich auch nicht helfen. Zumindest habe ich es versucht die Sicherheitsluecke zu erklaeren.


    Falls man, doch noch den von mir gezeigten Code ausprobieren sollte und feststellen sollte, dass die Datei 'thisFileMayNotExist.exists' erstellt wird, trotz, dass eine Location-Redirection angewendet wird und was das fuer den mode=admin code bedeutet habe ich einen Problemloesungsvorschlag in meinem ersten Beitrag vorgestellt.

  • Hey ne frage was muss ich machen damit ich ein server drauf laufen lassen kann?


    hab mir die aktulle SA:MP linux version runtergeladen.....auf dem vServer hochgeladen.
    Das ControlPanel installiert bloß was muss hier hin?


    Pfad:
    Server_Exe Pfad:
    Server_Ann Pfad:


    Könnte mir jemand helfen?

  • isch verstehe auch nicht wie das geht.

  • 1 Frage,
    Wie Installiere ich es auf XAMPP Also auf Localhost,
    Eher gesagt wie komme icn an die MySQL Daten ?
    Benutzer, Passwort, und co ?


    Danke Im Vorraus,


    PS: will es Testen zum Bewerten ^^

  • Moin,


    hab das Problem, dass das CP beim Klick auf beispielsweise "Start Server" ewig braucht,
    scheinbar stimmt da was mit der SSH Verbindung nicht?
    Hast du 'ne Idee, worans liegen könnte?


    Viele Grüße


    Basti


    edit:
    Scheinbar hängts nur beim Serverstart, der Rest klappt wohl (?)

    GTA ist wie Schule:
    Man hat ständig eine Mission und macht trotzdem was Anderes...

    Einmal editiert, zuletzt von BassT ()

  • Hi, ich bin neu hier und hab gerade das Interface gesehen.
    Zwar hab ich auf meinem Server alles Installiert, aber mit SSH selber hab ich noch nicht gearbeitet, daher würde mich Interessieren was ich bei der Installation unter SSH eingeben muß, bzw wo ich diese Logindaten her bekomme.


    Grüße
    Firedragon

  • do.de - Domain-Offensive - Domains für alle und zu super Preisen