phpBB.de

iframe-tag HEHE

Is ja auch ne Notlösung

Einen Link kann ich nicht direckt geben, da das Forum im Intranet ist.
Und ich wollte halt einen Tag haben, der es ermöglicht, php in einem post zu bneutzen.

Z.B. [php] [/php]

Der Text dazwischen wird als php ausgewertet und evtl auch in eine db geschrieben,...

also als wäre dieser Beitrag ein einziges php-script.
Es sollen alle php-befehle möglich sein.

ich rate jedem von soetwas ab!

Wenn du das machst gib mir deine Board adresse und ich habe in 5 minuten einen admin account deine DB ein paar pws mehr und nen neuen Webspace...
(Dies ist nur ein beispiel ich hacke im normalfall keine foren oder websiten oder sonst iregtnetwas)

Bedenke ich kann mit php ne neue datei auf deinem webspace erstellen die config php includen die daten auslesen und damit in deine mysql nachdme ich dann über den php code eine weitere datei hochgeladen habe lösche ich damit deine DB sowie alle dateien auf dem webspace und zuletzt alle von mir estellten dokumente mit nem proxy bekommste du mich dann nie.

Tu mir den gefallen las es leiber nicht nur ich KÖÖNTE soetwas jeder der ein wenig php kann wird damit deinen webspace down setzen.

Nocheinmal ein vermerk ich hacke nicht dies dient nur zu demontrations zwecken!

Schon klar, was man damit machen kann.

Aber wie ich schon ein paar mal gesagt hab:
man kann im Forum keine Mods und Admins zitieren.
Ebenso geht das automatische zitieren bei dem pn-button nicht!
Also bekommt keiner den Code.

Genau meine rede in mein letzte Beitrag, das dass ganze einfach nicht sicher ist, ob er nun jetzt allein den BBCode sieht oder nicht wie auch sei, es ist nun einmal einfach eine Sicherheitslücke dann, selbst wenn er einstellt nur "Admins" schön und gut, löscht er ein Admin kann der sauer sein und den BBCode-Tag missbrauchen um das Board zu cracken oder so (sofern dieser die nötige Erfahrung hat).

Deshalb glaub ich kaum das jemand dort auch hilft oder was programmiert, den niemand will nachher Schuld sein, wenn sein Board deshalb auf einmal gecrackt wurde.

Noch nicht mal dieses besteht als Gefahr, wie sieht es aus wenn jemand einfach eine externe Seite oder Datei reinhaut die ausgeführt wird, welche ein Spyware oder Virus enthält, dann hat jeder der dieses Beitrag aufruft diesen Spayware oder Virus auf seiner Platte.

Ok ich hätte da keine Probleme (beim Virus zumindest) den mein Virusscanner blockiert die Seite einfach dann bevor die Datei ausgeführt wird.

Aber nicht jeder hat ein gute und bei Spyware kann sogar der den reingesetzt hat ggf. die Daten des Benutzers aussponieren (Tasten/Maus-Befolgung) und schon hat auch er die Bankdaten etc. fürs Online-Banking und so, wie man sieht ist das ganze einfach nur Gefährlich.

Aber mehr als davon abraten können wir nicht, ich jeden Fall werden dort (falls möglich) nicht sagen wie es geht bzw. falls es nicht möglich ist was programmieren, den will nicht Schuld sein und mich ggf. noch Strafbar machen weil ich eine Hintertür sozusagen geöffnet habe damit.

EDIT: und wie sieht es mit dem Quelltext aus? Da wird doch sowas wie angezeigt, da dürfte dann der Button mit auftauchen wenn z.B. ihn [php][/php] genannt hast dürfte dort dann stehen sowas wie Aber naja es muss jeder selbst wissen wie sehr jemand sein Board der Gefahr aussetzen möchtet.

EDIT2: die Codes mal gekürzt damit das Layout nicht zerstört wird.

Gruß Chris

Das ist auch der Grund warum das bei phpBB3 nicht erlaubt ist.

Finde ich auch gut so, selbst das in phpBB3 nun HTML rausgenommen wurden ist, den das hatte ich eh immer nur in phpBB2 deaktiviert gehabt, sicherheitshalber.

Ne, ich möchte eben nicht, dass ein Button mit php erscheint.
Aber nun ist auch egal, wie gesagt, ich benutze dann mal den iFrame als ERsatzlösung.
Denn dafür muss man erst mal die Datei auf den Webspace hochladne, was ja nun auch nicht jeder kann.
Und dann ist da trotzdem noch der bbcode, den niemand kennt

Der "unbekannte" BBCode wird aber sichtbar, wenn jemand "zitiert" oder "editiert"....

Wie schon ein Haufen mal gesagt:

Zitieren von Moderatoren und Admins ist verboten (im Sinne von nicht machbar)! Ebenso das automatische Zitieren beim Klick auf den PM-Button! Und andere Moderatoren und Administratoren dürfen den Code benutzen, also keine Gefahr für diese!

Edit: Mitglieder dürfen Admins und MOderatoren eh nicht editieren