phpBB.de

MartectX hat geschrieben: fliegt Dir nämlich um die Ohren, wenn der User nicht ein paar Minuten zuvor (je nach eingestellter Session-Länge) im Forum gesurft hat (so schaut's für mich zumindest aus).

Also wenn ich mir das nun in Ruhe überlege, ist es ja so, dass im Cookie die SID des Users gespeichert ist. Mit dieser SID holt sich phpBB3 die Session-Daten aus der DB. Wenn die Cookielebenszeit zu kurz eingestelt ist, so wird der Cookie ungültig und die Session geht auch in phpBB3 verloren. Somit ist es eigentlich nicht falsch sich am Cookie zu orientieren. Es ist aber in phpBB3 auch anders möglich, dass die SID über GET-Parameter übertragen wird, wenn z.B. der Browser keine Cookies annimmt, das ist aber bei ET-Chat anders umgesetzt und Cookies sind Pflicht, also wird der User in diesem Fall in meinem MOD eine Fehlermeldung erhalten.

So gesehen sind deine Zweifel an Richtigkeit des Mods eigentlich vom technischen Standpunkt unbegründet.

ET-Chat hat geschrieben:So gesehen sind deine Zweifel an Richtigkeit des Mods eigentlich vom technischen Standpunkt unbegründet.

Danke für die Aufklärung. Ich nahm an, das Fehlen der Aufnahme einer Session wäre von Dir nicht gewollt, was aber wohl nicht so ist.

auch cookiedaten können bösen code enthalten!!! statt $_cookie kannste sonst auch §_GET['hack_mich'] nutzen,

Sie meinen dass dadurch eine SQL-Injection gemacht werden kann?

Also ich könnte diesen SID-Hasch auf z.B. Leerzeichen überprüfen die im Fale einer SQL Injection vorhanden wären, in etwa so:
Würde das ausreichen?

http://de3.php.net/mysqli_real_escape_string

PS: statt eregi() währe für eine solche prüfung auch strstr() vollkommen ausreichen und um einiges performanter

mysqli_real_escape_string möchte ich nicht verwenden, da die mysqli nicht unbedingt installiert werden muß. Der ET-Chat könnte z.b: genau wie phpBB3 auch mit PostgreSQL arbeiten. Und die Performance bei einer einmaligen Prüfung ist eher zweitrangig.

Die Prüfung auf Leerzeichen habe ich nun eingebaut. Das müsste ausreichen um die SQL-Injection zu verhindern.

Hi,

in der Datei ( phpBB3 ) includes/sessions.php wird das Auslesen des Cookies mit Hilfe der phpBB3 Funktion " request_var() " durchgeführt.

Dadurch wird einer SQL Injection vorgebeugt.

Siehe dazu ab Zeile 196:
[...] und includes/functions.php ab Zeile 63:

Hallo,

verstehe nicht so ganz wie der Einbau funktioniert.
Das mit der overall_header ist klar.

Nur dann haperts beim Hochladen. Muss ich die ZIP.Datei in den Root kopieren oder die entpackte Datei. Oder muss ich einen neuen Ordner mit dem Namen "/et_chat_v3/" anlegen?

Bitte helft mir auf die Sprünge.

Edit: Problem hat sich erübrigt.

Hallo
Ich benutze chat im russische forum.
Das Problem wäre das user mi russische schrift werden nur als ?????? zeichen angezeigt!
Wie kann ich das endern? ich kenne mich mit php wenig aus.

Ich habe es mal bei mir installiert und getestet.
Soweit echt super. Nur einige konnten dem chat nicht beitreten. Die haben dann eine
Fehlermeldung bekommen zwecks Cookie Einstellungen - Bei Mozilla zumindest.
Beim IE wurde die Seite einfach nicht angezeigt.

Als ich im Chat drin war und andere versuchten ihm bei zu treten warf der chat für
alle ersichtlich eine ewig laaaange log aus mit jedes mal der gleichen Meldung.
Geschriebene Nachrichten waren somit nicht mehr zu lesen außer man blätterte sieben Seiten
zurück. Also da hat das System schon viel ausgeworfen an unnötigen Info.

Würde wenn das aber Stable ist auf jedenfall bei mir einbauen.