31.07.2025, 07:06
Change Language
Register
Login
You are not logged in.
mysterox
Senior Member
Re: Würde gerne mal eure Meinung hören
Tuesday, May 18th 2004, 12:20am
@messi[ah]
wie meinst du das?
Ach ja noch was!
Ihr könnt ruhig fake mail adressen angeben, da wird nix hin geschickt!
Will wirklich keine Persönlichendaten von irgendwem, brauche halt nur ein paar beta tester! :
Wenn ich euch nicht registrieren wollt, dann könnt ihr auch den folgenden Account nehmen!
User: test
PW: test
Was haltet ihr vion einer Benachrichtigung wenn eine Antwort erstellt wurde!
Setzt dann natürlich gültige Email Adressen vorraus, oder die Mails laufen ins leere!
Soll ich lieber noch bei der Registrierung die Felder für Vor und Nachname weg nehmen?
mfg
Mysterox
wie meinst du das?
Ach ja noch was!
Ihr könnt ruhig fake mail adressen angeben, da wird nix hin geschickt!
Will wirklich keine Persönlichendaten von irgendwem, brauche halt nur ein paar beta tester! :
Wenn ich euch nicht registrieren wollt, dann könnt ihr auch den folgenden Account nehmen!
User: test
PW: test
Was haltet ihr vion einer Benachrichtigung wenn eine Antwort erstellt wurde!
Setzt dann natürlich gültige Email Adressen vorraus, oder die Mails laufen ins leere!
Soll ich lieber noch bei der Registrierung die Felder für Vor und Nachname weg nehmen?
mfg
Mysterox
Shoggy
Sven - Admin
Re: Würde gerne mal eure Meinung hören
Tuesday, May 18th 2004, 3:06am
Das Forum kommt mit Zeichen wie " oder ' nicht klar. Eine mögliche Angriffsfläche via SQL Injection würde ich nicht ausschliessen also fix das lieber 
Darüber hinaus kann man wohl auch problemlos HTML einschleusen und vermutlich noch andere Dinge... Ich habe mal versucht PHP einzuschleussen wobei das mehr oder weniger ging ;D
Du solltest die Eingaben der User also sorgfältig filtern damit man da keinen Unsinn treiben kann.
edit:
tbl_untergruppen
tbl_hauptg
tbl_threads
thr_id
ugr_id
etc. :
btw. geht die Server-Uhr scheinbar minimal falsch. Zumindest steht im mySQL Query der falsche Unix timestamp :-X
Ich hör lieber auf jetzt ;D
Darüber hinaus kann man wohl auch problemlos HTML einschleusen und vermutlich noch andere Dinge... Ich habe mal versucht PHP einzuschleussen wobei das mehr oder weniger ging ;D
Du solltest die Eingaben der User also sorgfältig filtern damit man da keinen Unsinn treiben kann.
edit:
tbl_untergruppen
tbl_hauptg
tbl_threads
thr_id
ugr_id
etc. :
btw. geht die Server-Uhr scheinbar minimal falsch. Zumindest steht im mySQL Query der falsche Unix timestamp :-X
Ich hör lieber auf jetzt ;D
Quoted from "Y0Gi"
Shoggy
Sven - Admin
Re: Würde gerne mal eure Meinung hören
Tuesday, May 18th 2004, 8:01pm
So, dann will ich mal da weitermachen, wo ich heute Nacht aufgehört habe ;D
Man kann über die URL den Variablen auch völlig blödsinnige Dinge zuweisen mit interessanten Folgen.
Bei einer Variationen (habe ich dir als KM geschickt) konnte ich eine Endlos-Schleife generieren. Nachdem die Seite 30 mb erreicht hatte habe ich dann abgebrochen *g*. Scheinbar gibt es kein Limit für die Ausführungszeit des Scripts oder es ist verdammt hoch eingestellt.
Wenn dir jemand was böses will kann er also Unmengen an Traffic produzieren. Die Datenbank hat in der Zeit bestimmt auch nicht wenig zu tun mit der unsinnigen Schleife
Fixen! ;D
edit:
dieser Link zeigt einen Beitrag von mir, der jedoch nirgendswo in der Übersicht auftaucht.
Somit könnte man sich genüsslich mit anderen unterhalten ohne gestört zu werden - auch nicht vom Admin so lange er keinen Blick in die Datenbank oder Logs wirft
Man kann über die URL den Variablen auch völlig blödsinnige Dinge zuweisen mit interessanten Folgen.
Bei einer Variationen (habe ich dir als KM geschickt) konnte ich eine Endlos-Schleife generieren. Nachdem die Seite 30 mb erreicht hatte habe ich dann abgebrochen *g*. Scheinbar gibt es kein Limit für die Ausführungszeit des Scripts oder es ist verdammt hoch eingestellt.
Wenn dir jemand was böses will kann er also Unmengen an Traffic produzieren. Die Datenbank hat in der Zeit bestimmt auch nicht wenig zu tun mit der unsinnigen Schleife
Fixen! ;D
edit:
dieser Link zeigt einen Beitrag von mir, der jedoch nirgendswo in der Übersicht auftaucht.
Somit könnte man sich genüsslich mit anderen unterhalten ohne gestört zu werden - auch nicht vom Admin so lange er keinen Blick in die Datenbank oder Logs wirft
Shoggy
Sven - Admin
Re: Würde gerne mal eure Meinung hören
Tuesday, May 18th 2004, 9:49pm
Ich habe bei dem Antwort-Link einfach die richtige ID durch eine falsche augestauscht - in dem Bsp. die ID 1337. Wenn ich die verstecke Seite anzeigen will muss ich jetzt auch wieder beim Anzeigen die ID austauschen und das war's ;D
edit:
Schau dir mal diese Seite an und achte auf deinen ersten Beitrag :
Auch wieder durch simples Ändern der IDs im Link erreicht.
edit:
Schau dir mal diese Seite an und achte auf deinen ersten Beitrag :
Auch wieder durch simples Ändern der IDs im Link erreicht.