ABAKUS

Ja wohl auch der Grund wieso ihr es so in der Dreck ziehen müsst, weil die anderen Systeme das alles bereits lange anbieten... Ihr lästert doch nur rum damit nicht über die Features gesprochen wird.

@daniel5959 Lern du mal einen guten Ton...

bncms hat geschrieben: ↑14.10.2019, 18:02 Ich selber warne vor dem Anbieter und indirekt vor seinem fehlerhaften Code - und werde das auch weiterhin machen, solange noch fehlerhafter Code verbreitet werden soll und sich der Anbieter unbelehrbar zeigt.

Ich werde schweigen, wenn sich der Anbieter der Kritik öffnet und bereit ist Fehler zu beseitigen - es liegt nur am Anbieter.
daniel5959

Falsch du wirst nicht mit der Defamierung aufhören, es sei denn ein Anwalt gebietet dir Einhalt. Ich habe schon vor Jahren geschrieben habe, dass ich diese Threads eröffne um diese Dinge zu ändern.

Zudem habe ich bereits geschrieben:
Escapen -> Prepared Statements -> OOP macht wenig Sinn weil dreifache Arbeit.

Anpassung sehr umfangreich -> Suche von Leuten -> Dummes Maul von Daniel usw.

...
daniel5959 - schweigend kopiert und eingefügt

(Mit den Fingern zeigend ... 6x)

Code: Alles auswählen

mysqli_query($DB,$q) or exit(mysql_error());

https://github.com/damianhunziker/bncms ... ns.inc.php

(Stellen schweigend mit fett und rot markiert)

mysql_error
(PHP 4, PHP 5)

mysql_error — Liefert den Fehlertext der zuvor ausgeführten MySQL Operation

Warnung Diese Erweiterung ist seit PHP 5.5.0 als veraltet markiert und wurde in PHP 7.0.0 entfernt. Verwenden Sie stattdessen die Erweiterungen MySQLi oder PDO_MySQL. Weitere Informationen finden Sie im Ratgeber MySQL: Auswahl einer API und den zugehörigen FAQ. Alternativen zu dieser Funktion umfassen:

mysqli_error()
PDO::errorInfo()

https://www.php.net/manual/de/function.mysql-error.php

Wir haben jetzt in der neuen Version 0.7 wurde an vielen Stellen Escaping in SQL-Queries eingefügt (cirka 100) zu sehen im Commit http://github.com/damianhunziker/bnc...a9ba6fa7afc296

Falls jemand doch noch Injection Schwachstellen oder andere findet bin ich froh darüber informiert zu werden.

Das Changelog ist hier beginnend mit diesem Release:

https://github.com/damianhunziker/bn...t/CHANGELOG.md

Nur mal kurz reingeguckt:
- default charset sollte im jahre 2019 utf8mb4 sein wenn du vorhast umlaute, smileys oder importe aus anderen utf-8 faehigen systemen systemen zu speichern
- Selbst als strings koennen IPv6 adressen maximal 40 chars lang werden, nicht 50.
- IPs werden in mysql mit inet_ntoa usw. als unsigned VARBINARY(16) gespeichert; nicht als string:

INET_ATON() Return the numeric value of an IP address
INET_NTOA() Return the IP address from a numeric value
INET6_ATON() Return the numeric value of an IPv6 address
INET6_NTOA() Return the IPv6 address from a numeric value

Hallo,

User "bncms" hat gekürzte Webadressen mit 3 Punkten gepostet, diese funktionieren so nicht mehr - ein hoffnungsloser Fall.

daniel5959

Ist mir gar nicht aufgefallen wegen der Links

Hier der Commit mit dem Escaping der SQL-Queries
https://github.com/damianhunziker/bncms ... 6fa7afc296

Und hier das Changelog https://github.com/damianhunziker/bncms ... ANGELOG.md

Hallo Nerd

Wir haben in der inc/db-functions.inc.php https://github.com/damianhunziker/bncms ... ns.inc.php die Charsets für die Konfigurationstabellen alle auf UTF8 gestellt. Der dbdump ist alt und hat keine Funktion, wurde einmal von phpMyAdmin generiert. Das muss ich machen mit dem VARBINARY(16)für IP Adressen, merks mir danke!

Neuer Security Patch von gestern fixt CSS an vielen Stellen und unnötige Dateien wurden gelöscht. Alles wurde noch einmal nach Injections abgesucht. https://github.com/damianhunziker/bncms ... 9414242cc2