Alles anzeigenHabe mir mal die Veraenderungen angesehen und was ins Auge sticht ist:
[PHP] $sql = "SELECT ".
"* ".
"FROM ".
"Users ".
"WHERE ".
"(Username like '".$_REQUEST["username"]."') AND ".
"(Password = '".md5 ($_REQUEST["password"])."')";
$result = mysql_query ($sql);[/PHP]
Beim eingeloggten Admin ist es schon fast egal, dass dort ebenfalls eine Sicherheitsluecke ist, der ist Admin, der darf soviele SQL-Injections machen, wie er will, aber beim Login ist das schon eine andere Sache.
Dann ist mir noch aufgefallen, dass in:
[PHP] /* AdminPage */
elseif($_GET['mode'] == 'admin')[/PHP]
eine Ueberpruefung fehlt, ob der Nutzer ein admin ist. Das original script hat, wie mir gerade im Vergleich auffaellt, gar keine ueberpruefungen, ob der Nutzer berechtigt ist die Seite zu nutzen. Du muesstest das Script also auch an den Original-script teilen anpassen, oder, was noch einfacher ist, ein exit() in checkuser.php nach header("Location: index.php?mode=login") einfuegen. Das sollte das Problem beheben, da danach ContentCore() nicht mehr ausgefuehert werden kann, wenn die session nicht gesetzt ist und auch die login seite nicht aufgerufen wird.
Dann ist mir noch aufgefallen, dass in:
[PHP] /* AdminPage */
elseif($_GET['mode'] == 'admin')[/PHP]
Du solltest dir das Script lieber genauer anschasuen und nicht nur drüberfligen damit ist die Server Admin Page gemeint sprich die Verwaltungs Seite (bzw. Später in der v1.3 auch die Console die Admin Page Hat ein anderen Mode: "index.php?mode=adminpanel" und dort drunter ist eine Abfrage ;D
ZitatAlles anzeigen
[PHP] $sql = "SELECT ".
"* ".
"FROM ".
"Users ".
"WHERE ".
"(Username like '".$_REQUEST["username"]."') AND ".
"(Password = '".md5 ($_REQUEST["password"])."')";
$result = mysql_query ($sql);[/PHP]
Beim
eingeloggten Admin ist es schon fast egal, dass dort ebenfalls eine
Sicherheitsluecke ist, der ist Admin, der darf soviele SQL-Injections
machen, wie er will, aber beim Login ist das schon eine andere Sache.
Sorry aber was meinst du damit ;C !?!
Edit://
Hier mal eine Kleine Liste was bereits in der Version v1.3_Beta verfügbar ist:
- Eine Server - Konsole in der man den Server verwalten kann
- Bind Adresse wurde in das Admin Panel verschoben
- Bug gefixt das bei der installation mal v1.1 und mal v1.2 angezeigt wurde ;D
Geplant:
- Eine Seite in der die Admins MySQL und FTP Daten angeben können
- Eventuell Server Viewer ;D