Hi,

Da man bei VMS an bestimmten stellen speziellen Code eingeschleust werden womit man den Inhaber um Lose betrügen kann.


Was kann man tuen? Es wäre eine möglichkeit in die "functions.inc.php" datei folgendes einzufügen (ganz nach oben aber nach <?):

foreach($_POST as $variabel => $inhalt) {
$_POST[$variabel] = htmlspecialchars($inhalt);
}

foreach($_GET as $variabel => $inhalt) {
$_GET[$variabel] = htmlspecialchars($inhalt);
}


Somit wird nochmals ALLES was über $_GET und $_POST an den Server geschickt wird mit htmlspecialchars() behandelt. Womit kein spezieller Code ausgeführt werdeb kann.


Das kann man natürlich auch mit tausend anderen funktionen weiter absichern ;)


Gruß Stephan

fooreach aber bitte durch foreach ersetzen^^

Dauern die Abfragen dann länger ?

Nur mal ne Frage nebenbei bevor ichs eibau :)

cu, Swinxx

Des merkste net. Des sind solch kleine Sekundenteilstechens, des ich nich mal die Namens dafür kenne.

Also der Ansatz ist schon recht gut, sollte aber überarbeitet werden. Ich sehe es eher als Denkanstoß, ich selber nutze im VMS 2 soetwas in der Art, jedoch verfeinert und um einiges schneller aufgebaut.

Doch wie schon gesagt als Denkansatz sollte man es mal nehmen...

Morgäähn,

man das ja schon lange her das hier der Letzte gepostet hat. Und wie ist es? Gibts denn hier mal schon was neues zu? Oder muß man noch darüber nachdenken?

MK75

Also an sich ist die Funktion nicht schlecht, aber wenn man z.B. einen Newsletter verschicken will indem man HTML Code eingegeben hat, dann werden diese Zeichen auch eliminiert und somit sieht dann der Newsletter total zerstückelt aus.

Original von Holstenjungs
Also an sich ist die Funktion nicht schlecht, aber wenn man z.B. einen Newsletter verschicken will indem man HTML Code eingegeben hat, dann werden diese Zeichen auch eliminiert und somit sieht dann der Newsletter total zerstückelt aus.

dann mach doch einen Ordner auf deiner Domain : www.deine domain.de/nl,
darin legst du das vms nur mit der funktions.php und den adminbereich(aber geschützt), wo die newsletter verschickt werden. in der funktions.php dann ohne en code und schon sind deine Newsletter wieder "normal". eins ist nicht zu vergessen, die Newsletter_versenden.php abändern, so das deine wirkliche url drinne steht und nicht $domain
:)

Sorry, aber das ist nun wirklch etwas zu umständlich. Dann schreibe ich die Funktion lieber so um, das sie nur für den userbereich gilt.

Original von Holstenjungs
Sorry, aber das ist nun wirklch etwas zu umständlich. Dann schreibe ich die Funktion lieber so um, das sie nur für den userbereich gilt.

sicherlich:)

aber es ist auch für die User gedacht, die nicht so viel Ahnung haben.
Dazu zähle ich mich.

Jepp, da hast du natürlich recht. Aber ich finde gerade denen sollte man einen Code geben, bei dem sie nicht noch lange ausprobieren müssen, sondern der gleich funktioniert. Dann gibt es im Nachhinein weniger Probleme.

ich hab im ersten Post die zweite foreach korrigiert ;)

Was hast du denn da geändert?

aus fooreach hab ich foreach gemacht.
da war ein o zuviel