php in bb-code verwenden
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
Berliner Schildkroete
- Mitglied
- Beiträge: 563
- Registriert: 30.03.2007 19:02
- Wohnort: Berlin
iframe-tag HEHE
Grüße
Berliner Schildkröte
kein Support via PN, etc. - Befolgung meiner Vorschläge auf eigene Gefahr!
Berliner Schildkröte
kein Support via PN, etc. - Befolgung meiner Vorschläge auf eigene Gefahr!
-
UGC
Is ja auch ne Notlösung 
Einen Link kann ich nicht direckt geben, da das Forum im Intranet ist.
Und ich wollte halt einen Tag haben, der es ermöglicht, php in einem post zu bneutzen.
Z.B. [php] [/php]
Der Text dazwischen wird als php ausgewertet und evtl auch in eine db geschrieben,...
also als wäre dieser Beitrag ein einziges php-script.
Es sollen alle php-befehle möglich sein.
Einen Link kann ich nicht direckt geben, da das Forum im Intranet ist.
Und ich wollte halt einen Tag haben, der es ermöglicht, php in einem post zu bneutzen.
Z.B. [php] [/php]
Der Text dazwischen wird als php ausgewertet und evtl auch in eine db geschrieben,...
also als wäre dieser Beitrag ein einziges php-script.
Es sollen alle php-befehle möglich sein.
ich rate jedem von soetwas ab!
Wenn du das machst gib mir deine Board adresse und ich habe in 5 minuten einen admin account deine DB ein paar pws mehr und nen neuen Webspace...
(Dies ist nur ein beispiel ich hacke im normalfall keine foren oder websiten oder sonst iregtnetwas)
Bedenke ich kann mit php ne neue datei auf deinem webspace erstellen die config php includen die daten auslesen und damit in deine mysql nachdme ich dann über den php code eine weitere datei hochgeladen habe lösche ich damit deine DB sowie alle dateien auf dem webspace und zuletzt alle von mir estellten dokumente mit nem proxy bekommste du mich dann nie.
Tu mir den gefallen las es leiber nicht nur ich KÖÖNTE soetwas jeder der ein wenig php kann wird damit deinen webspace down setzen.
Nocheinmal ein vermerk ich hacke nicht dies dient nur zu demontrations zwecken!
Wenn du das machst gib mir deine Board adresse und ich habe in 5 minuten einen admin account deine DB ein paar pws mehr und nen neuen Webspace...
(Dies ist nur ein beispiel ich hacke im normalfall keine foren oder websiten oder sonst iregtnetwas)
Bedenke ich kann mit php ne neue datei auf deinem webspace erstellen die config php includen die daten auslesen und damit in deine mysql nachdme ich dann über den php code eine weitere datei hochgeladen habe lösche ich damit deine DB sowie alle dateien auf dem webspace und zuletzt alle von mir estellten dokumente mit nem proxy bekommste du mich dann nie.
Tu mir den gefallen las es leiber nicht nur ich KÖÖNTE soetwas jeder der ein wenig php kann wird damit deinen webspace down setzen.
Nocheinmal ein vermerk ich hacke nicht dies dient nur zu demontrations zwecken!
-
UGC
-
Christian_N
- Mitglied
- Beiträge: 513
- Registriert: 29.09.2004 14:23
Genau meine rede in mein letzte Beitrag, das dass ganze einfach nicht sicher ist, ob er nun jetzt allein den BBCode sieht oder nicht wie auch sei, es ist nun einmal einfach eine Sicherheitslücke dann, selbst wenn er einstellt nur "Admins" schön und gut, löscht er ein Admin kann der sauer sein und den BBCode-Tag missbrauchen um das Board zu cracken oder so (sofern dieser die nötige Erfahrung hat).
Deshalb glaub ich kaum das jemand dort auch hilft oder was programmiert, den niemand will nachher Schuld sein, wenn sein Board deshalb auf einmal gecrackt wurde.
Noch nicht mal dieses besteht als Gefahr, wie sieht es aus wenn jemand einfach eine externe Seite oder Datei reinhaut die ausgeführt wird, welche ein Spyware oder Virus enthält, dann hat jeder der dieses Beitrag aufruft diesen Spayware oder Virus auf seiner Platte.
Ok ich hätte da keine Probleme (beim Virus zumindest) den mein Virusscanner blockiert die Seite einfach dann bevor die Datei ausgeführt wird.
Aber nicht jeder hat ein gute und bei Spyware kann sogar der den reingesetzt hat ggf. die Daten des Benutzers aussponieren (Tasten/Maus-Befolgung) und schon hat auch er die Bankdaten etc. fürs Online-Banking und so, wie man sieht ist das ganze einfach nur Gefährlich.
Aber mehr als davon abraten können wir nicht, ich jeden Fall werden dort (falls möglich) nicht sagen wie es geht bzw. falls es nicht möglich ist was programmieren, den will nicht Schuld sein und mich ggf. noch Strafbar machen weil ich eine Hintertür sozusagen geöffnet habe damit.
EDIT: und wie sieht es mit dem Quelltext aus? Da wird doch sowas wie angezeigt, da dürfte dann der Button mit auftauchen wenn z.B. ihn [php][/php] genannt hast dürfte dort dann stehen sowas wie
Aber naja es muss jeder selbst wissen wie sehr jemand sein Board der Gefahr aussetzen möchtet. 
EDIT2: die Codes mal gekürzt damit das Layout nicht zerstört wird.
Gruß Chris
Deshalb glaub ich kaum das jemand dort auch hilft oder was programmiert, den niemand will nachher Schuld sein, wenn sein Board deshalb auf einmal gecrackt wurde.
Noch nicht mal dieses besteht als Gefahr, wie sieht es aus wenn jemand einfach eine externe Seite oder Datei reinhaut die ausgeführt wird, welche ein Spyware oder Virus enthält, dann hat jeder der dieses Beitrag aufruft diesen Spayware oder Virus auf seiner Platte.
Ok ich hätte da keine Probleme (beim Virus zumindest) den mein Virusscanner blockiert die Seite einfach dann bevor die Datei ausgeführt wird.
Aber nicht jeder hat ein gute und bei Spyware kann sogar der den reingesetzt hat ggf. die Daten des Benutzers aussponieren (Tasten/Maus-Befolgung) und schon hat auch er die Bankdaten etc. fürs Online-Banking und so, wie man sieht ist das ganze einfach nur Gefährlich.
Aber mehr als davon abraten können wir nicht, ich jeden Fall werden dort (falls möglich) nicht sagen wie es geht bzw. falls es nicht möglich ist was programmieren, den will nicht Schuld sein und mich ggf. noch Strafbar machen weil ich eine Hintertür sozusagen geöffnet habe damit.
EDIT: und wie sieht es mit dem Quelltext aus? Da wird doch sowas wie
Code: Alles auswählen
var bbtags = new Array('....,'[url]','[/url]','[flash=]', '[/flash]','[size=]','[/size]');Code: Alles auswählen
var bbtags = new Array('....,'[url]','[/url]','[flash=]', '[/flash]','[size=]','[/size]','[php]','[/php]');EDIT2: die Codes mal gekürzt damit das Layout nicht zerstört wird.
Gruß Chris
Zuletzt geändert von Christian_N am 17.12.2007 20:26, insgesamt 1-mal geändert.
-
Christian_N
- Mitglied
- Beiträge: 513
- Registriert: 29.09.2004 14:23
-
UGC
Ne, ich möchte eben nicht, dass ein Button mit php erscheint.
Aber nun ist auch egal, wie gesagt, ich benutze dann mal den iFrame als ERsatzlösung.
Denn dafür muss man erst mal die Datei auf den Webspace hochladne, was ja nun auch nicht jeder kann.
Und dann ist da trotzdem noch der bbcode, den niemand kennt
Aber nun ist auch egal, wie gesagt, ich benutze dann mal den iFrame als ERsatzlösung.
Denn dafür muss man erst mal die Datei auf den Webspace hochladne, was ja nun auch nicht jeder kann.
Und dann ist da trotzdem noch der bbcode, den niemand kennt
-
UGC
Wie schon ein Haufen mal gesagt:
Zitieren von Moderatoren und Admins ist verboten (im Sinne von nicht machbar)! Ebenso das automatische Zitieren beim Klick auf den PM-Button! Und andere Moderatoren und Administratoren dürfen den Code benutzen, also keine Gefahr für diese!
Edit: Mitglieder dürfen Admins und MOderatoren eh nicht editieren
Zitieren von Moderatoren und Admins ist verboten (im Sinne von nicht machbar)! Ebenso das automatische Zitieren beim Klick auf den PM-Button! Und andere Moderatoren und Administratoren dürfen den Code benutzen, also keine Gefahr für diese!
Edit: Mitglieder dürfen Admins und MOderatoren eh nicht editieren
